|
Jak zobaczyłem ten temat jakoś mnie wzięło żeby przeskanowac system, co sie okazało ? 35 obiektów z tego 14 w rejestrze i 13 w C:\Windows ;o
|
Cytuj:
|
Cytuj:
|
Cytuj:
Te wpisy są używane do programów. Po czym można poznać? Albo po plikach albo po nazwach programów które sie używa. |
up: ale niektore wpisy podszywaja sie pod zle wpisy(tzn prawie nie ma takiej mozliwosci lecz czasami sie to zdaza ;p). np sterowniki drukarki lexmark maja bardzo podejzane wpisy lecz sa dobre. Dobra koniec offtopa. A co tam z tym pulpitem badza? ;p
down: daje uciac glowe ze to nie to ;p |
MOŻLIWE: Właściwości pulpitu--> Pulpit --> Zmień tapete. Jeśli nie pomoże ... to nie wiem jak to zrobić innym sposobem.
|
Od czasu do czasu to sie wlacza, ale juz tego napisu ze system jest zainfekowany nie ma... Tylko czasem paseczek sie wlacza, który wtryndzala sie wszedzie (czyt. nie mozna go zminimalizować).
Spróbuje jeszcze Spybot S&D, a jak nie pomoze to sciagne sobie tego hijackthis (? taj to sie nazywa?) Cytuj:
#EDIT Ten paseczek tez jest w aplikacjach, jako wpis "accces" SPybot S&D nie działa... #edit2 Bardzo wolno mi net chodzi... Próbuje tego hijackthis sciagnac, ale cos nie moge... |
Cytuj:
1 - Mało pomoże bo i tak to sie spowrotem zainstalują SpyWare'y 2 - Pisze tam informacja "Używasz na własną odpowiedzialność" 3 - Znajduje niektóre potrzebne pliki. Znajdzie ci SVCHOST - Pod żadnym pozorem nie usuwaj go. Plik który jest odpowiedzialny za neta. Tak a dokładnie HijackThis Ver.1.98.2 |
i daj tu loga lokniemy ;p
edit: otwierasz narzedzie, klikasz ok na te okienko co wyskoczy, i 1 przycisk od gory. na pulpicie( czy gdzie tam masz tego hijacka) pojawi ci się log tzn. plik tekstowy wklejasz go tutaj. down: masz duuuuzo syfu ;p |
Logfile of HijackThis v1.99.1
Scan saved at 19:34:45, on 2005-09-24 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss***** C:\WINDOWS\system32\winlogon***** C:\WINDOWS\system32\services***** C:\WINDOWS\system32\lsass***** C:\WINDOWS\System32\Ati2evxx***** C:\WINDOWS\system32\svchost***** C:\WINDOWS\System32\svchost***** C:\WINDOWS\system32\spoolsv***** C:\Program Files\Common Files\Symantec Shared\ccEvtMgr***** C:\Program Files\Apache Group\Apache\Apache***** C:\mysql\bin\mysqld-nt***** C:\Program Files\Norton AntiVirus\navapsvc***** C:\PROGRA~1\NORTON~1\AdvTools\NPROTECT***** C:\WINDOWS\System32\iexplore***** C:\WINDOWS\Explorer***** C:\Program Files\Apache Group\Apache\Apache***** C:\WINDOWS\system32\ras\explorer***** C:\WINDOWS\System32\svchost***** C:\Program Files\Java\jre1.5.0_02\bin\jusched***** C:\WINDOWS\SOUNDMAN***** C:\Program Files\Common Files\Symantec Shared\ccApp***** C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx***** C:\WINDOWS\System32\rundll32***** C:\Program Files\Kjerh\Uyyk***** C:\PROGRA~1\BUTTER~1\BO1HEL~1***** C:\Program Files\SurfAccuracy\SAcc***** C:\WINDOWS\System32\paytime***** C:\WINDOWS\System32\combop***** C:\WINDOWS\System32\combo***** C:\Program Files\Messenger\msmsgs***** C:\WINDOWS\System32\paytime***** C:\Program Files\ACD Systems\ACDSee\ACDSee***** C:\Program Files\Winamp\Winamp***** C:\Program Files\Mozilla Firefox\firefox***** C:\Program Files\Gadu-Gadu\gg***** C:\WINDOWS\System32\taskmgr***** C:\Documents and Settings\Admin\Pulpit\hijackthis\HijackThis***** R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: MySearch Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Program Files\MySearch\SrchAstt\1.bin\MYSRCHAS.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_38.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\system32\appwiz.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched***** O4 - HKLM\..\Run: [SoundMan] SOUNDMAN***** O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp*****" O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy*****" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK***** O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx***** O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck***** O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon*****" -lang 1033 O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids***** O4 - HKLM\..\Run: [Maygqxi] C:\Program Files\Kjerh\Uyyk***** O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon***** O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt***** O4 - HKLM\..\Run: [BO1HelperStartUp] C:\PROGRA~1\BUTTER~1\BO1HEL~1***** /partner BO1 O4 - HKLM\..\Run: [Windows Cache Loader] c:\cache***** O4 - HKLM\..\Run: [microsft Updates] msupdate32***** O4 - HKLM\..\Run: [SurfAccuracy] C:\Program Files\SurfAccuracy\SAcc***** O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms***** O4 - HKLM\..\Run: [Services] C:\WINDOWS\services***** $ O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime***** O4 - HKLM\..\Run: [combop*****] combop***** O4 - HKLM\..\Run: [combo*****] combo***** O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc***** O4 - HKLM\..\RunServices: [microsft Updates] msupdate32***** O4 - HKLM\..\RunOnce: [Panda_cleaner_183997] C:\WINDOWS\System32\ActiveScan\pavdr***** 183997 O4 - HKLM\..\RunOnce: [Panda_cleaner_209913] C:\WINDOWS\System32\ActiveScan\pavdr***** 209913 O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs*****" /background O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen***** O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype*****" /nosplash /minimized O4 - HKCU\..\Run: [WITaj!] rem -- Anulowane uruchamianie programu WITaj! 2000 O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg*****" /tray O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001*****" O4 - HKCU\..\Run: [Windows installer] C:\winstall***** O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime***** O4 - HKCU\..\Run: [SNInstall] C:\WINDOWS\tool2***** O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff***** O4 - Startup: Xfire.lnk = C:\Program Files\Xfire\Xfire***** O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9***** O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT***** O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm O8 - Extra context menu item: Pobierz z &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget***** O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget***** O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/actives...ree/asinst.cab O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab O23 - Service: Apache - Unknown owner - C:\Program Files\Apache Group\Apache\Apache*****" --ntservice (file missing) O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx***** O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag***** O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr***** O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc***** O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT***** O23 - Service: MySql - Unknown owner - C:\mysql\bin\mysqld-nt (file missing) O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc***** O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\AdvTools\NPROTECT***** O23 - Service: QoS Provider (qosprv) - Unknown owner - C:\WINDOWS\System32\iexplore*****" -netsvcs (file missing) O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\ras\explorer*****" /service (file missing) O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ***** O23 - Service: Smart Card Updater (SCardUpd) - Unknown owner - C:\WINDOWS\system32\scardupd***** (file missing) O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc***** O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC***** |
wejdz w tryb awaryjny i usun to w hijacku(napewno bedzie wiecej, ale narazie zobaczmy to):
O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids***** O23 - Service: Smart Card Updater (SCardUpd) - Unknown owner - C:\WINDOWS\system32\scardupd***** (file missing) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php O23 - Service: Apache - Unknown owner - C:\Program Files\Apache Group\Apache\Apache*****" --ntservice (file missing) O23 - Service: MySql - Unknown owner - C:\mysql\bin\mysqld-nt (file missing) |
start>uruchom>msconfig zakladka uruchomiania, i poszukaj podejzanych procesów odznacz je uruchom ponownie komputer, napisz czy pomogło
|
Dobra, wielkie dzięki wszystkim za pomoc, ale pomoze chyba tylko format...Zazwyczaj połączeń z netem miałem ok. 20, teraz mam 150~ O_o I tak niedługo miałem mieć reinstala windowsa, wiec nic sie nie stanie...
bTW. Chyba ten szit chciał mi w rejestrze pogrzebać: http://img369.imageshack.us/img369/7595/kerio0vd.th.jpg @down Ale jak, usunąć przez shift+delete? |
TO nie jest odpowiednie forum, ale niech bedzie
Wywal te pliczki: C:\WINDOWS\System32\iexplore***** C:\WINDOWS\system32\ras\explorer***** (z tym nie jestem pewny - moze to dobre, ale dla mnie lekko podejrzanie wyglada) C:\Program Files\Kjerh\Uyyk***** (jak to nie jest jakas smieszna nazwa dla gry tez wy***) C:\WINDOWS\System32\paytime***** C:\WINDOWS\System32\combop***** C:\WINDOWS\System32\combo***** (te dwa to wirusy - az dziw mnie bierze, ze ich AV nie wykryl. Skanowales?) nastepnie usun te wpisy: O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids***** O4 - HKLM\..\Run: [Maygqxi] C:\Program Files\Kjerh\Uyyk***** O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime***** O4 - HKLM\..\Run: [combop*****] combop***** O4 - HKLM\..\Run: [combo*****] combo***** o te wpisy co wczesniej byly poza Apachem. Wywal WSZYSTKO co ci pokazalem, uaktualnij baze antywirusa, uruchom system w trybie awaryjnym, przeskanuj AV, wywal wszystko co wykryje, zrob loga HT i daj tutaj. Zobaczymy co z tego wyjdzie. @up: albo w trybie awaryjnym, ale HT zaznacz ptaszkami te wpisy i kliknij Fix. Daj potem loga, ja lece pobiegac;) |
Sciagnalem avasta...
uyyk***** - trojan był drugi taki sam... Wykrył wirusa w pamieci operacyjnej... Robie restart i niech avast działa :P EDIT OMFG, łącznie było ok. 30 trojanów... Dobry avast :P co to moze być? http://img369.imageshack.us/img369/6339/lotdefak7gx.jpg SECOND http://img369.imageshack.us/img369/8442/avast6qk.jpg Combo to był ten wirus co mówił Matek... Ale o co z tym chodzi? EDIT2 Dzisiaj doszedłęm do wnoisku, że Windows SUX!!!! Przenosze sie na linuxa... NARA :P |
| Wszystkie czasy podano w strefie GMT +2. Teraz jest 10:03. |
Powered by vBulletin 3