[PORADNIK] HijackThis - korzystanie z programu

[zalfik]

Witam serdecznie!
Chciałbym zademonstrować poradnik korzystania z HijackThis.

Na pewno większości zdażyło się, że mieliśmy jakiegoś wirusa/robala/trojana etc. Niestety często na forum pojawiają się tematy pt "Mam keyloga, jak go usunąć, halp plax". Jeżeli nasz antywir i/lub antyrobale nie chcą wykryć i/lub usunąć takiego ustrojstwa, z pomocą przychodzi nam właśnie Hijack.

====== UWAGA ======
Przeż rozpoczęciem korzystania z tego programu sugeruję utworzyć Punkt przywracania systemu, gdyż Hijackiem łatwo usunąć pliki niezbędne dla poprawnego działania Windowsa.
Jak to uczynić można znaleźć tu:
http://support.microsoft.com/kb/823048/pl
===================


Teraz możemy spokojnie zabrać się za używanie programu.

Stronka autora programu:
http://www.merijn.org/index.php

Dział DOWNLOAD:
http://www.merijn.org/programs.php#hijackthis

Bezpośrednie linki do pliku z programem:
http://www.spywareinfo.com/~merijn/files/hijackthis*****
http://download.hijackthis.eu/hijackthis_199*****

Gdy ściągniemy program i odpalimy go (wcześniej należy rozpakować) oczom naszym ukazuje się taki oto obraz:



Klikamy na "Do a a system scan and save a logfile", program przeskanuje system, po czym otworzy się plik tekstowy z zapisanym tzw. logiem.
Kopiujemy całą zawartość (nie zamykamy programu) i wchodzimy na stronkę:
http://www.hijackthis.de/

Wklejamy log do tego największego okienka na środku (pod napisem "You can paste a logfile in this textbox") i klikamy na przycisk "Analyze". Tak to mniej więcej powinno wyglądać:



"Mniej więcej", ponieważ wiadomo, że w każdym komputerze mogą działać różne procesy.
No i tutaj zaczynają się schody Czas znaleźć te "złe" pliki.

Jeżeli ktoś zna angielski na przyzwoitym poziomie to spokojnie sobie to wszystko ogarnie. Jeżeli jednak nie znamy na tyle dobrze, musi sugerować sie kolumnami: "Kind" i "Visitor's assessment". W pierwszej mamy ikonkę. Może być to zielony ptaszek, pomarańczowy znak zapytania lub czerwone ostrzeżenie.
Jeśli coś jest na czerwono to na 99% jest to do wywalenia.
W przypadku zielonego ptaszka - plik jest bezpieczny.
Jeśli natomiast mamy znak zapytania tzn, że program nie zna takiego procesu.
Wtedy możemy zajrzeć do kolumny "Visitor's assessment". Tam widzimy komentarze innych użytkowników nt. procesu/pliku. Warto również obejrzeć pole "Entry". Może się wtedy okazać, że to jakiś znany nam program etc. Tak jak np. u mnie:



Eskimos to poprostu program do wysyłania smsów, więc nie mam czego się obawiać :-)

Kiedy już zidentyfikujemy szkodliwy plik/proces trzeba wziąć się za naprawę. Wracamy do okna programu (jesli zamknęliśmy wcześniej program, należy odpalic go jeszcze raz i kliknąć "Do a a system scan only"). Zaznaczamy "złe" procesy i klikamy "Fix checked". Uruchamiamy program i skanujemy ponownie. Jeśli naprawianych przez nas plików/procesów nie ma, to resetujemy komputer.

====== UWAGA ======
Gdyby komputer nie uruchomił się ponownie oznacza to, że usunęliśmy jakis potrzebny Windowsowi plik. Musimy wtedy użyć opcji przywracania systemu do wcześniej utworzonego przez nas punktu przywracania.
===================

Jeszcze raz odpalamy program i skanujemy. Jeśli wpisy znów się pojawiły, należy usunąć je z autostartu (START->URUCHOM->"msconfig"->URUCHAMIANIE), po czym powtórzyć calą zabawę od początku.

Jeśli natomiast wpisy zniknęły - GRATULACJE! Usunęliśmy "złe" rzeczy ze swojego komputera.
Nie było trudno prawda?



Prosze o niezbyt surowe komentarze, gdyż jest to mój pierwszy poradnik. Jesli pojawiły się jakieś błędy - proszę o wskazanie. Mam nadzieję, że przyda się to komuś

[emilok]

Cytuj:

Przeż rozpoczęciem korzystania z tego programu sugeruję utworzyć Punk przywracania systemu, gdyz Hijackiem łatwo usunąć pliki niezbędne dla poprawnego działania Windowsa.

Litery brakuje.

Bezpośredni link do pobrania programu ze strony http://www.hijackthis.de/en to http://download.hijackthis.eu/hijackthis_199*****

[Drzamich]

Cytuj:

"Mniejwięcej" ponieważ wiadomo

Powinno być "Mniej więcej..."
A sam poradnik jest spoko.
Mogłeś umieścić go w dziale "Propozycje poradników"
Fajnie też że ten program zajmuje tak mało miejsca.

[Defek]

Temat ciekawy. Niemniej jednak mam małą uwagę. Radziłbym nie korzystać ze stronki ---> www.hijackthis.de.

Z własnego doświadczenia wiem, że porady tam zawarte nie są zbyt bezpieczne xD. Zamiast tego polecałbym polskie forum, które znaleźć można pod tym adresem: http://www.searchengines.pl/phpbb203...p?showforum=99

Powodzenia w walce z malware

[Cossma]

http://forum.tibia.pl/showthread.php?t=42730

post nr. 8

[zalfik]

Bledy poprawiam.

Co do wrzucenia tego do "Propozycji poradnikow" to w ogole sie zakrecilem jakos tak i sam nie wiem czemu znalazlo to sie tutaj. Moze jakis modek przeniesie?

@Cossma
Wybacz... szukalem w poradnikach, nie znalazlem... napisalem

[Parys]

Poradnik bardzo dobry, gratuluje.
Jednakże czy jest sens przenosić jak już coś na ten temat jest?

P.S.
Z tym narzędziem trzeba na serio ostrożnie, bo łatwo coś rozwalić. I każdą rzecz trzeba weryfikować.

[De'sH]

Cytuj:

Oryginalnie napisane przez Parys

Poradnik bardzo dobry, gratuluje.
Jednakże czy jest sens przenosić jak już coś na ten temat jest?

P.S.
Z tym narzędziem trzeba na serio ostrożnie, bo łatwo coś rozwalić. I każdą rzecz trzeba weryfikować.

404 - Not Found

: p

moze u mnie jakis blad ale nie znajduje tego opisu.

przeniesc przeniesc, chlopak sie napracowal i calkiem dobre: ]

[Parys]

Zjedź do postu nr. 8 myszką, a nie klikaj na odnośnik. (-;

[zalfik]

@Parys

Zanim napisalem ten poradnik, szukalem czy czegos takiego juz nie ma. Slabo szukalem? Nie wiem... na pewno nie gorzej niz inny przecietny uzytkownik tego forum

[Progmaniak]

Usuwanie wirusów z hijaka poprzez stronę hijackthis.de to glupota!
Ostatnio kumplowi wykazalo, żeby usunął swoje DNSy Polecam jakieś forum...np. programosy.pl, dobreprogramy.pl

[Tristo]

Ej stary a co z zoltymi krzyzykami?tez sa to nieznane pliki?Powinienem to olac?

[zalfik]

Cytuj:

Oryginalnie napisane przez Tristo

Ej stary a co z zoltymi krzyzykami?tez sa to nieznane pliki?Powinienem to olac?

Wtedy musisz dokladnie przeczytac (przyda sie znajomosc angielskiego) coz to za wpis. Mozliwe, ze jest to znany dla Ciebie program :-)

Mozesz tez wkleic swoj log tutaj, mozliwe, ze bedziemy w stanie cos poradzic ^_^

[..::QRAS::..]

Cytuj:

Oryginalnie napisane przez Progmaniak

Usuwanie wirusów z hijaka poprzez stronę hijackthis.de to glupota!
Ostatnio kumplowi wykazalo, żeby usunął swoje DNSy Polecam jakieś forum...np. programosy.pl, dobreprogramy.pl

taaa... tylko pewnie usunal to co nie trzeba ...

Logfile of HijackThis v1.99.1
Scan saved at 08:54:17, on 2007-08-18
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss*****
C:\WINDOWS\system32\winlogon*****
C:\WINDOWS\system32\services*****
C:\WINDOWS\system32\lsass*****
C:\WINDOWS\system32\svchost*****
C:\WINDOWS\System32\svchost*****
C:\Program Files\Alwil Software\Avast4\aswUpdSv*****
C:\Program Files\Alwil Software\Avast4\ashServ*****
C:\WINDOWS\system32\LEXBCES*****
C:\WINDOWS\system32\spoolsv*****
C:\WINDOWS\system32\LEXPPS*****
C:\WINDOWS\Explorer*****
C:\PROGRA~1\MediaKey\MMKeybd*****
C:\PROGRA~1\MediaKey\KPDrv4XP*****
C:\Program Files\Ahead\InCD\InCD*****
C:\WINDOWS\System32\LXSUPMON*****
C:\WINDOWS\System32\RUNDLL32*****
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp*****
C:\Program Files\Ahead\InCD\InCDsrv*****
C:\Program Files\BearShare\BearShare*****
C:\Program Files\Java\jre1.6.0_01\bin\jusched*****
C:\WINDOWS\System32\nvsvc32*****
C:\WINDOWS\System32\svchost*****
C:\WINDOWS\System32\ctfmon*****
C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil*****
C:\Program Files\Kalendarz XP\Kalendarz*****
C:\Program Files\VIA\RAID\raid_tool*****
C:\WINDOWS\system32\NOTEPAD*****
C:\Program Files\Gadu-Gadu\gg*****
C:\WINDOWS\system32\rundll32*****
C:\Program Files\Opera\Opera*****
C:\Documents and Settings\krzych\Pulpit\HijackThis*****

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MediaKey] C:\PROGRA~1\MediaKey\MMKeybd*****
O4 - HKLM\..\Run: [USBKBDrv] C:\PROGRA~1\MediaKey\KPDrv4XP*****
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck*****
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD*****
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON***** RUN
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32***** C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz***** /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32***** C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp*****
O4 - HKLM\..\Run: [BearShare] "C:\Program Files\BearShare\BearShare*****" /pause
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched*****"
O4 - HKCU\..\Run: [CTFMON*****] C:\WINDOWS\System32\ctfmon*****
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl*****
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Kalendarz XP.lnk = C:\Program Files\Kalendarz XP\Kalendarz*****
O4 - Global Startup: raid_tool*****.lnk = C:\Program Files\VIA\RAID\raid_tool*****
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL*****/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv*****
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ*****
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv*****
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES*****
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32*****

[Jarhan]

Mógłby ktoś mi pomóc wyczyścić komputer ze zbędnych śmieci?
Dokładniej, to chodzi o wskazanie szkodliwych plików w logu HiJacka.
Co do usunięcia?

C:\WINDOWS\System32\smss*****
C:\WINDOWS\system32\winlogon*****
C:\WINDOWS\system32\services*****
C:\WINDOWS\system32\lsass*****
C:\WINDOWS\System32\Ati2evxx*****
C:\WINDOWS\system32\svchost*****
C:\WINDOWS\System32\svchost*****
C:\WINDOWS\system32\LEXBCES*****
C:\WINDOWS\system32\spoolsv*****
C:\WINDOWS\system32\LEXPPS*****
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard*****
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched*****
C:\WINDOWS\System32\svchost*****
C:\WINDOWS\system32\Ati2evxx*****
C:\WINDOWS\Explorer*****
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1*****
C:\Program Files\Lexmark 1200 Series\lxczbmgr*****
C:\Program Files\Winamp\winampa*****
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt*****
C:\WINDOWS\System32\ctfmon*****
C:\Program Files\Messenger\msmsgs*****
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2*****
C:\Program Files\Lexmark 1200 Series\lxczbmon*****
C:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s*****
C:\Program Files\Common Files\PCSuite\Services\ServiceLayer*****
C:\Program Files\Gadu-Gadu\gg*****
C:\WINDOWS\System32\wuauclt*****
C:\Program Files\Winamp\winamp*****
C:\Program Files\Mozilla Firefox\firefox*****
C:\Program Files\Trend Micro\HijackThis\HijackThis*****

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com/intl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: UrlHelper Class - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1***** -startup
O4 - HKLM\..\Run: [Lexmark 1200 Series] "C:\Program Files\Lexmark 1200 Series\lxczbmgr*****"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa*****
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt*****" /min
O4 - HKCU\..\Run: [CTFMON*****] C:\WINDOWS\System32\ctfmon*****
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs*****" /background
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2***** /NoDialog
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg*****" /tray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON*****] C:\WINDOWS\System32\CTFMON***** (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON*****] C:\WINDOWS\System32\CTFMON***** (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON*****] C:\WINDOWS\System32\CTFMON***** (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON*****] C:\WINDOWS\System32\CTFMON***** (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader*****
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched*****
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard*****
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx*****
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES*****
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer*****

Prosiłbym o szybką odpowiedź, z góry dzięki;]

@edit
to co pogrubione, to chyba usunąć;] ale nie jestem pewny. Kursywą to wogóle nie wiem co to jest...

[domas13]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:48:53, on 2008-06-17
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss*****
C:\WINDOWS\system32\csrss*****
C:\WINDOWS\system32\winlogon*****
C:\WINDOWS\system32\services*****
C:\WINDOWS\system32\lsass*****
C:\WINDOWS\system32\svchost*****
C:\WINDOWS\system32\svchost*****
C:\WINDOWS\System32\svchost*****
C:\WINDOWS\system32\svchost*****
C:\WINDOWS\system32\svchost*****
C:\WINDOWS\system32\spoolsv*****
C:\WINDOWS\system32\acs*****
C:\WINDOWS\Explorer*****
C:\WINDOWS\RTHDCPL*****
C:\WINDOWS\system32\RUNDLL32*****
C:\Program Files\TP-LINK\TWCU\TWCU*****
C:\Program Files\Java\jre1.6.0_03\bin\jusched*****
C:\PROGRA~1\Grisoft\AVG7\avgcc*****
C:\Program Files\HP\HP Software Update\HPWuSchd2*****
C:\Program Files\HP\hpcoretech\hpcmpmgr*****
C:\WINDOWS\system32\ctfmon*****
C:\Program Files\Common Files\LightScribe\LightScribeControlPanel*****
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor*****
C:\Program Files\HP\Digital Imaging\bin\hpqtra08*****
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr*****
C:\Program Files\Kalendarz XP\Kalendarz*****
C:\Program Files\HP\Digital Imaging\bin\hpqgalry*****
C:\PROGRA~1\Grisoft\AVG7\avgamsvr*****
C:\PROGRA~1\Grisoft\AVG7\avgupsvc*****
C:\PROGRA~1\Grisoft\AVG7\avgemc*****
C:\Program Files\Common Files\LightScribe\LSSrvc*****
C:\WINDOWS\system32\nvsvc32*****
C:\Program Files\Spyware Doctor\sdhelp*****
C:\WINDOWS\system32\svchost*****
C:\WINDOWS\system32\wdfmgr*****
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService*****
C:\WINDOWS\System32\alg*****
C:\Program Files\Spyware Doctor\swdoctor*****
C:\PROGRA~1\Mozilla Firefox\firefox*****
C:\Program Files\Gadu-Gadu\gg*****
C:\Program Files\Trend Micro\HijackThis\HijackThis*****
C:\WINDOWS\system32\wbem\wmiprvse*****

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL*****
O4 - HKLM\..\Run: [Alcmtr] ALCMTR*****
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE*****
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup***** boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32***** C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz***** /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32***** C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TWCU] "C:\Program Files\TP-LINK\TWCU\TWCU*****" -nogui
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched*****"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc***** /STARTUP
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2*****"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr*****"
O4 - HKCU\..\Run: [CTFMON*****] C:\WINDOWS\system32\ctfmon*****
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel***** -hidden
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor*****"
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg*****" /tray
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\PROGRA~1\Mozilla Firefox\plugins\NPSWF32_FlashUtil***** -p
O4 - HKUS\S-1-5-19\..\Run: [CTFMON*****] C:\WINDOWS\system32\CTFMON***** (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw***** /RUNONCE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON*****] C:\WINDOWS\system32\CTFMON***** (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON*****] C:\WINDOWS\system32\CTFMON***** (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON*****] C:\WINDOWS\system32\CTFMON***** (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08*****
O4 - Global Startup: HP Image Zone - szybkie uruchamianie.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08*****
O4 - Global Startup: Kalendarz XP.lnk = C:\Program Files\Kalendarz XP\Kalendarz*****
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs***** (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs***** (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E70DD82-BEB2-4D0E-9DC8-8825D3777F5E}: NameServer = 194.204.159.1,194.204.152.34
O23 - Service: TP-LINK Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs*****
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr*****
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc*****
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc*****
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc*****
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService*****
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32*****
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12*****
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp*****

--
End of file - 6626 bytes

[Michoss]

http://www.hijackthis.de/
Skopiuj tekst tutaj (tylko bezpośrednio z pliku, bo po wklejeniu na forum psuje się lista) i kliknij Analyze. V-dobrze, X-źle

[domas13]

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs***** (file missing)

Kind

Neutral
Neutral

Unnecessary (deactivated) entry that can be fixed. The entry Messenger has been identified as safe.
Visitor's assessment Analyzerdetails
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs***** (file missing)

Kind


/\ Sa 2 X Czy to jest key?