Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: Hijack This - log (czyli co siedzi w compie)
Osłomania > IT, Multimedia, Home Entertainment, Komunikacja > Systemy Operacyjne > Windows 9X / NT / W2K / XP
Stron: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16
Jasia
23.01.05 - 20:24
http://www.tomcoyote.org/hjt/
http://tomcoyote.org/hjt/hjt199//hijackthis.zip

KOD
Logfile of HijackThis v1.99.0
Scan saved at 22:51:59, on 05-01-21
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\GRISOFT\AVG6\AVGSERV9.EXE
C:\PROGRAM FILES\KERIO\PERSONAL FIREWALL 4\KPF4SS.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAM FILES\KERIO\PERSONAL FIREWALL 4\KPF4GUI.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\ADVTOOLS\NPROTECT.EXE
C:\PROGRAM FILES\SSANTYDIALER\SSANTYDIALER.EXE
C:\PROGRAM FILES\GRISOFT\AVG6\AVGCC32.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\HPZTSB05.EXE
C:\PROGRAM FILES\AHEAD\INCD\INCD.EXE
C:\PROGRAM FILES\CYBERLINK\POWERDVD\PDVDSERV.EXE
C:\PROGRAM FILES\INTERMUTE\SPYSUBTRACT\SPYSUB.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
D:\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://a-search.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: (no name) - {F033F6D4-6191-EF4C-D67D-7A3490E53695} - ActionScr.dll (file missing)
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {EFCBA120-6A83-11D9-A40A-444553540000} - C:\WINDOWS\SYSTEM\MSPZH.DLL
O2 - BHO: (no name) - {793B5861-6A84-11D9-A40A-44457183AE66} - C:\WINDOWS\SYSTEM\MCICDB.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\SYSTEM\IECUST.DLL (file missing)
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.ExE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Zasobnik systemowy] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\ADVTOOLS\ADVCHK.EXE
O4 - HKLM\..\Run: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [SSAntyDialer] "c:\program files\ssantydialer\ssantydialer.exe" tray
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\GRISOFT\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [System32] "user32.exe" -user
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb05.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [AppMasterCenter] teqq32.exe
O4 - HKLM\..\Run: [ssweeper] init32.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\GRISOFT\AVG6\Avgserv9.exe
O4 - HKLM\..\RunServices: [RNBOStart] C:\WINDOWS\SYSTEM\RNBOSENT\SENTSTRT.EXE
O4 - HKLM\..\RunServices: [KPF4] C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O4 - HKCU\..\Run: [runload32] br0ken.exe
O4 - HKCU\..\Run: [ActionScr] ssweeper.exe
O4 - HKCU\..\Run: [PrcIdle] systemdll.exe
O4 - HKCU\..\Run: [WareOut] C:\PROGRAM FILES\WAREOUT\WareOut.exe
O4 - Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O12 - Plugin for .mpeg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.188.180,195.225.176.31
O18 - Filter: text/html - {581661A1-6BFD-11D9-A40A-444577B16C5F} - C:\WINDOWS\SYSTEM\MCICDB.DLL
O18 - Filter: text/plain - {581661A1-6BFD-11D9-A40A-444577B16C5F} - C:\WINDOWS\SYSTEM\MCICDB.DLL


Pełno tu różnistych paskudztw, ale komputer mojej koleżanki i błaga o pomoc. Powiedzcie jak to pousuwać, bo co to po mału dochodzę.
Acha jeszcze jedno. Moja koleżanka (ta od tego logu) jest totalną blondynką, więc nie irytujcie się panowie, bo i tak zapuszczone komputery bywają. Na dodatek w/w koleżanka mieszka w stolicy, ja zaś 180 km na południe i zdalczynnie czasami jej pomagam, ale cóż można.
A może jakiś miły mieszkaniec stolicy postawi samotnej blondynce komputer na nogi smile.gif.
Proszę o światłe rady i szczegółową pomoc.
Ratunku (na szczęście nie dla mnie)
lokocool
23.01.05 - 20:34
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://a-search.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated)
R3 - URLSearchHook: (no name) - {F033F6D4-6191-EF4C-D67D-7A3490E53695} - ActionScr.dll (file missing)
O2 - BHO: (no name) - {EFCBA120-6A83-11D9-A40A-444553540000} - C:\WINDOWS\SYSTEM\MSPZH.DLL
O2 - BHO: (no name) - {793B5861-6A84-11D9-A40A-44457183AE66} - C:\WINDOWS\SYSTEM\MCICDB.DLL
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\SYSTEM\IECUST.DLL (file missing)
O4 - HKLM\..\Run: [Zasobnik systemowy] SysTray.Exe --> tego nie jestem pewnei... wywal, jakby cos nie dzialalo to przywroc wink.gif
O4 - HKLM\..\Run: [System32] "user32.exe" -user
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb05.exe
O4 - HKLM\..\Run: [AppMasterCenter] teqq32.exe
O4 - HKLM\..\Run: [ssweeper] init32.exe
O4 - HKCU\..\Run: [runload32] br0ken.exe
O4 - HKCU\..\Run: [ActionScr] ssweeper.exe
O4 - HKCU\..\Run: [PrcIdle] systemdll.exe
O4 - HKCU\..\Run: [WareOut] C:\PROGRAM FILES\WAREOUT\WareOut.exe
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.188.180,195.225.176.31
O18 - Filter: text/html - {581661A1-6BFD-11D9-A40A-444577B16C5F} - C:\WINDOWS\SYSTEM\MCICDB.DLL
O18 - Filter: text/plain - {581661A1-6BFD-11D9-A40A-444577B16C5F} - C:\WINDOWS\SYSTEM\MCICDB.DLL

To by bylo tyle wink.gif --> pozniej przeskanoj jeszce sobie komputerek AdAdawere i/lub SpySweeperem i powinno byc ok thumbsup.gif
I zainstaloj koleznace FireFoxa i np. Kerio wink.gif .... Internet+ win 98 + IE+brak dobrego firewalla to nie jest najlepszy pomysl
aha i jeszcze jedno --> albo mi sie wydaje albo sa tam zainstalowane 2 Antywirusy --> Norton i AVG6 Anti virus --> zostaw jednego, albo najlepiej zainstaloj zamiast ich Kasprerky'ego biggrin.gif

Pozdr. smiley13.gif
Luca
23.01.05 - 20:38
Restart -klawisz F8 -punkt przywracania systemu na ZERO i na poczatek zafiksuj to co na czerwono http://www.hijackthis.de/logfiles/a54ad905...114a8b7ed2.html
lokocool
23.01.05 - 20:39
CYTAT
Restart -klawisz F8 -punkt przywracania systemu na ZERO

@Mireczek Win98 --> tam nie ma punktow przywracania wink.gif

Pozdr. smiley13.gif
Luca
23.01.05 - 20:44
STarosc nie radosc (slepota)
Platform: Windows 98 SE (Win9x 4.10.2222A)
thumbsup.gif
gulon
23.01.05 - 21:45
To i ja się podłączę do tematu...

Mam pytanie dlaczego logi się różnią jeśli hijack jest uruchamiany jako administrator i jako użytkownik

Administrator:

CYTAT
Logfile of HijackThis v1.99.0
Scan saved at 21:26:09, on 2005-01-23
Platform: Unknown Windows (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 (6.00.3790.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
D:\INSTALACJA\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [cFosDNT] C:\Program Files\cFos\cFosDNT.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{677DEE55-FA3B-4408-BD79-C96F1E8C8FD4}: NameServer = 194.204.152.34 217.98.63.164
O23 - Service: Sygate Personal Firewall Pro - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe


Użytkownik zaawansowany:
CYTAT
Logfile of HijackThis v1.99.0
Scan saved at 21:33:05, on 2005-01-23
Platform: Unknown Windows (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 (6.00.3790.0000)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\Program Files\cFos\cFosDNT.exe
C:\Program Files\Gadu-Gadu\gg.exe
D:\eMule\Kopia\eMule.exe
D:\INSTALACJA\HijackThis.exe

O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [cFosDNT] C:\Program Files\cFos\cFosDNT.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O17 - HKLM\System\CCS\Services\Tcpip\..\{677DEE55-FA3B-4408-BD79-C96F1E8C8FD4}: NameServer = 194.204.152.34 217.98.63.164
O23 - Service: Sygate Personal Firewall Pro - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe


Domyślam się, że hijack pokazuje procesy użytkownika przez którego został uruchomiony, ale... nie wiem...

A druga sprawa, to co to są te wpisy, które wytłuściłem?...
pab
23.01.05 - 21:55
CYTAT(gulon @ 23.01.05 - 21:45)
Mam pytanie dlaczego logi się różnią jeśli hijack jest uruchamiany jako administrator i jako użytkownik

Domyślam się, że hijack pokazuje procesy użytkownika przez którego został uruchomiony, ale... nie wiem...

A druga sprawa, to co to są te wpisy, które wytłuściłem?...


Wydaje mi się że się dobrze domyślasz thumbsup.gif .
A te IP
KOD
NameServer = 194.204.152.34 217.98.63.164


to są DNS`y
gulon
23.01.05 - 22:03
CYTAT(pab @ 23.01.05 - 21:55)
A te IP to są DNS`y

To dzięki już jestem pewny i spokojny, bo podpowiedzi hijack były alarmujące, a nigdzie nie mogłem znaleźć co to...
mrowek
24.01.05 - 13:30
Odnośnie HijackThis polecam poniższy temat
HijackThis i jego logi - super narzędzie, Jak się tym posługiwać?

pozdrawiam rolleyes.gif
Eyeore
24.01.05 - 13:58
CYTAT(mrowek @ 24.01.05 - 14:30)
Odnośnie HijackThis polecam poniższy temat
HijackThis i jego logi - super narzędzie, Jak się tym posługiwać?

pozdrawiam  rolleyes.gif
*


Ale tak kobita ma wolnego czasu, albo ma relaksacyjną pracę.
Pozazrościć.... dribble.gif Pewnie Wa-wa albo Kraków... biggrin.gif
Opis jest lepszy od helpu w programie.

Naprawdę się marnuje -> książki powinna pisać o Wzgrozie.

Tak sobie myślę że obsługa takiego hijacka jest bardzo prosta. po prostu trzeba sobe podejrzeć jak to wygląda taki log na czystm systemie, a jak wygląda na zawirusowanym. jak jakiegos odnośnika się nie zna to wrzucic zapytanie na gugla, a dalej to już kwestia wprawy i ilus tam wywalonych virusów trojanów...
Tutaj na forum też jest bardzo dużo dobrych opisow -> wystarczy odpalic wyszukiwarkę. Proces ukatrupiania jest identyczny w większości przypadków.
gulon
24.01.05 - 14:07
CYTAT(Eyeore @ 24.01.05 - 13:58)
jak jakiegos odnośnika się nie zna to wrzucic zapytanie na gugla, a dalej to już kwestia wprawy i ilus tam wywalonych virusów trojanów...

Google w tym przypadku raczej zawodzi, zwłaszcza jeśli chce się sprawdzić wpis standardowy. Przebrnąć przez te wszystkie logi w necie i znaleźć odp, to trzeba mieć szczęście, albo dużo czasu...

A temat, do którego link podał mrowek jest naprawdę świetny, wyjaśnia chyba wszystko...
I_O
24.01.05 - 21:03
CYTAT
Przebrnąć przez te wszystkie logi w necie i znaleźć odp, to trzeba mieć szczęście, albo dużo czasu...

Bo szukac trzeba umiec smile.gif Zamiast czytac logi w necie lepiej sprawdzic do czego sluzy plik/klucz ktorego nie znasz. W zasadzie wcale nie ma ich tak wiele bo 90 % powtarza sie w wiekszosci systemow
Jasia
24.01.05 - 21:08
No i po robocie, komputer w/w definitywnie padł, chyba będzie jednak format. sad.gif
gulon
24.01.05 - 21:30
CYTAT(I_O @ 24.01.05 - 21:03)
Bo szukac trzeba umiec smile.gif Zamiast czytac logi w necie lepiej sprawdzic do czego sluzy plik/klucz ktorego nie znasz. W zasadzie wcale nie ma ich tak wiele bo 90 % powtarza sie w wiekszosci systemow


Naucz mnie (i nie tylko mnie) I_O szukać smile.gif . Niech będzie ten "mój" klucz -
HKLM\System\CCS\Services\Tcpip\..\{677DEE55-FA3B-4408-BD79-C96F1E8C8FD4}: NameServer = 194.204.152.34 217.98.63.164

Gdzie mogę się dowiedzieć do czego służy ten konkretny klucz?
Auxiliaris
24.01.05 - 23:54
@gulon, Idźiesz na przykład na te strone i wybierasz np. to IP 194.204.152.34 wklejasz zaznaczasz "wszystko" i otrzymujesz

CYTAT
inetnum:      194.204.152.0 - 194.204.152.255
netname:      TPNET-CST-WARSZAWA
descr:        Commercial IP network of Polish Telecom
country:      PL
admin-c:      KP21-RIPE
tech-c:       TK569-RIPE
tech-c:       HT2189-RIPE
rev-srv:      dns.tpsa.pl
rev-srv:      dns2.tpsa.pl
rev-srv:      bilbo.nask.org.pl
status:       ASSIGNED PA
mnt-by:       TPNET
changed:      konradpl@zt.piotrkow.tpsa.pl 19960126
changed:      ripe-dbm@ripe.net 20000225
changed:      tkielb@cst.tpsa.pl 20000307


w taki oto sposób dowiadujesz sie, że to twuj Prowider laugh.gif

Edit: literówa
I_O
25.01.05 - 00:06
No widzisz Gulon, juz ci Pitol to wytlumaczyl smile.gif
A ja dodam ze pod tym ze trzeba umiec mialem na mysli nie instrukcje obslugi Googla, tylko umiejetnosc koncentrowania sie na rzeczach istotnych smile.gif Po coz szukac jakiegos kryptycznego klucza, kiedy ten wpis sam ci mowi ze chodzi tu o adres twojego NameSerwera? Wystarczy sprawdzic czy to wlasdciwy numer i juz po klopocie smile.gif A studiowanie kompletnych logow niechybnie doprowadzi tylko do bolu glowy smile.gif
Chyba ze...koniecznie potrzebny ci maly kurs obslugi Googla? a_rotfl.gif
@Jasia: co to oznacza ze padl definitywnie? Az tak definitywnie ze nie da sie uruchomic ani naprawic?
Jasia
25.01.05 - 12:05
Nie wiem dokładnie, ale wczoraj Małgoś zadzwoniła i poinformowała mnie, że w trakcie startu systemu pokazywał jej się komunikat, że brak "jakiegoś pliku ini" (cytat dosłowny), więc zadzwoniła do paru osób i znalazła magika, który za nieduże pieniądze postawi jej to na nogi.
pyzio2
25.01.05 - 14:47
no to ja dodam swoj i prosze o pomoc smile.gif


CYTAT
Logfile of HijackThis v1.99.0
Scan saved at 14:44:01, on 2005-01-25
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Sygate\SPF\Smc.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
D:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
D:\Program Files\Common Files\Symantec Shared\ccApp.exe
E:\wir\Norton Ghost\GhostStartTrayApp.exe
D:\WINDOWS\System32\RUNDLL32.EXE
F:\Program Files\D-Tools\daemon.exe
D:\Program Files\Winamp\winampa.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Gadu-Gadu\gg.exe
D:\Program Files\Microsoft Office\Office\1045\OLFSNT40.EXE
E:\wir\NORTON~2\GHOSTS~2.EXE
E:\wir\Norton AntiVirus\navapsvc.exe
E:\wir\Norton Utilities\NPROTECT.EXE
D:\WINDOWS\System32\nvsvc32.exe
E:\wir\SPEEDD~1\nopdb.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Documents and Settings\Pyzio\Pulpit\hijackthis1.99\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/.../search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\wir\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\wir\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "D:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "D:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "D:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] E:\wir\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools-1033] "F:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] D:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Komunikator] D:\Program Files\Tlen.pl\tlen.exe
O4 - HKCU\..\Run: [SuperAdBlocker] D:\Program Files\SuperAdBlocker.com\Super Ad Blocker\SAdBlock.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = D:\Program Files\Microsoft Office\Office\1045\OLFSNT40.EXE
O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - D:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - D:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O12 - Plugin for .spop: D:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - http://www.e-games.com.my/com/EGamesPlugin.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1094901086632
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - https://www.mir3europe.com/nProtect/nPKeyCrypt/npkcx.cab
O16 - DPF: {FCF289D4-0AC8-4ED8-BE31-E8AF09606AB5} (download_35mb_com.applet) - http://download.35mb.com/images/downloadapplet.cab
O23 - Service: Symantec Event Manager - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: GhostStartService - Symantec Corporation - E:\wir\NORTON~2\GHOSTS~2.EXE
O23 - Service: Usługa Auto-Protect w programie Norton AntiVirus - Symantec Corporation - E:\wir\Norton AntiVirus\navapsvc.exe
O23 - Service: npkcsvc - INCA Internet Co., Ltd. - D:\WINDOWS\System32\npkcsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - E:\wir\Norton Utilities\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Super Ad Blocker Service - Unknown - D:\Program Files\SuperAdBlocker.com\Super Ad Blocker\SABSVC.EXE (file missing)
O23 - Service: ScriptBlocking Service - Symantec Corporation - D:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sygate Personal Firewall Pro - Sygate Technologies, Inc. - D:\Program Files\Sygate\SPF\Smc.exe
O23 - Service: Speed Disk service - Symantec Corporation - E:\wir\SPEEDD~1\nopdb.exe
O23 - Service: SymWMI Service - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
gulon
25.01.05 - 14:51
Dzięki Pitol27 i I_O za małą lekcję... Trochę zobiłem z siebie durnia, ale co mi tam, wszystko zostaje w rodzinie smile.gif ...

P.S. pyzio2 ale log dribble.gif

Rada taka wpisz to co wpisałeś tutaj do okna na tej stronie, wciśnij analyze i poczytaj opisy. Czerwone wykrzykniki znaczą, że musisz koniecznie usunąć... Żółte znaki zapytania informują, że lepiej się tym wpisom przyjrzeć, a zielone (safe) że powinno być ok. Ale w Twoim przypadku, to do usuniecia jest też dużo z tych "zielonych" ...
karlik
25.01.05 - 15:06
Ja radzę użyć Ad-Aware. Skanuje i na polecenie usuwa szkodniki (robiąc kopię zapasową na wszelki wypadek)
Auxiliaris
25.01.05 - 15:33
@pyzio, podstawowa zasada to skanowanie HijackThisem tylko przy wyłonczonym Internet Explorerze (zauważyłem że jak skanowałeś był włonczony), zresetuj kompa, najlepiej odłoncz sieć (nie uruchamiać IE) zeskanuj jeszcze raz i wklej nowego loga.
budger
25.01.05 - 15:55
Według mnie robactwa nie masz, ale sporo niepotrzebych "w tle', które możesz wyłączyć.
Flashget przoduje...
Wrzuc jeszce raz jak mówi @Pitol27
pyzio2
26.01.05 - 13:30
CYTAT
Rada taka wpisz to co wpisałeś tutaj do okna na tej stronie, wciśnij analyze i poczytaj opisy. Czerwone wykrzykniki znaczą, że musisz koniecznie usunąć... Żółte znaki zapytania informują, że lepiej się tym wpisom przyjrzeć, a zielone (safe) że powinno być ok. Ale w Twoim przypadku, to do usuniecia jest też dużo z tych "zielonych" ...


zielonych chyba za duzo bo 1 czerwony to nie tak zle co z tych zielonych moglbym wywalic??

CYTAT
Ja radzę użyć Ad-Aware. Skanuje i na polecenie usuwa szkodniki (robiąc kopię zapasową na wszelki wypadek)


to robie regularnie smile.gif

CYTAT
@pyzio, podstawowa zasada to skanowanie HijackThisem tylko przy wyłonczonym Internet Explorerze (zauważyłem że jak skanowałeś był włonczony), zresetuj kompa, najlepiej odłoncz sieć (nie uruchamiać IE) zeskanuj jeszcze raz i wklej nowego loga.



CYTAT
Logfile of HijackThis v1.99.0
Scan saved at 13:26:26, on 2005-01-26
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Sygate\SPF\Smc.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
D:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
D:\Program Files\Common Files\Symantec Shared\ccApp.exe
E:\wir\Norton Ghost\GhostStartTrayApp.exe
D:\WINDOWS\System32\RUNDLL32.EXE
F:\Program Files\D-Tools\daemon.exe
D:\Program Files\Winamp\winampa.exe
D:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Gadu-Gadu\gg.exe
D:\Program Files\Microsoft Office\Office\1045\OLFSNT40.EXE
E:\wir\NORTON~2\GHOSTS~2.EXE
E:\wir\Norton AntiVirus\navapsvc.exe
E:\wir\Norton Utilities\NPROTECT.EXE
D:\WINDOWS\System32\nvsvc32.exe
E:\wir\SPEEDD~1\nopdb.exe
D:\WINDOWS\System32\svchost.exe
D:\Documents and Settings\Pyzio\Pulpit\hijackthis1.99\HijackThis.exe
D:\WINDOWS\System32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/.../search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\wir\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\wir\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "D:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "D:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "D:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] E:\wir\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools-1033] "F:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] D:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Komunikator] D:\Program Files\Tlen.pl\tlen.exe
O4 - HKCU\..\Run: [SuperAdBlocker] D:\Program Files\SuperAdBlocker.com\Super Ad Blocker\SAdBlock.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = D:\Program Files\Microsoft Office\Office\1045\OLFSNT40.EXE
O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - D:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - D:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O12 - Plugin for .spop: D:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - http://www.e-games.com.my/com/EGamesPlugin.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1094901086632
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - https://www.mir3europe.com/nProtect/nPKeyCrypt/npkcx.cab
O16 - DPF: {FCF289D4-0AC8-4ED8-BE31-E8AF09606AB5} (download_35mb_com.applet) - http://download.35mb.com/images/downloadapplet.cab
O23 - Service: Symantec Event Manager - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: GhostStartService - Symantec Corporation - E:\wir\NORTON~2\GHOSTS~2.EXE
O23 - Service: Usługa Auto-Protect w programie Norton AntiVirus - Symantec Corporation - E:\wir\Norton AntiVirus\navapsvc.exe
O23 - Service: npkcsvc - INCA Internet Co., Ltd. - D:\WINDOWS\System32\npkcsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - E:\wir\Norton Utilities\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Super Ad Blocker Service - Unknown - D:\Program Files\SuperAdBlocker.com\Super Ad Blocker\SABSVC.EXE (file missing)
O23 - Service: ScriptBlocking Service - Symantec Corporation - D:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sygate Personal Firewall Pro - Sygate Technologies, Inc. - D:\Program Files\Sygate\SPF\Smc.exe
O23 - Service: Speed Disk service - Symantec Corporation - E:\wir\SPEEDD~1\nopdb.exe
O23 - Service: SymWMI Service - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe


log przy wylaczonym ie
Berserker
26.01.05 - 20:43
JA tu nic nie widzę złego.Oprócz pliku O23 - Service: Super Ad Blocker Service - Unknown - D:\Program Files\SuperAdBlocker.com\Super Ad Blocker\SABSVC.EXE (file missing) gdzie pisze , że jest zbyteczny ( a jeśli ten program używasz to raczej nie jest ) to możesz go wyłączć.

Zielony oznacza ,że wpis/plik jest " zdrów " żółty oznacza, że "nieznany lub jeśli zbyteczny to go usuń". jeśli jes żółty i pisze "Possible nasty" i nie znasz tej strony to możesz usunąć a czerwony to "wróg" w systemie
Eyeore
26.01.05 - 20:52
(file missing) - zagubiony plik znaczy się odinstalowany @Pysio nie masz wirkow, ale na pewnomasz tam równoczesnie urucomionych dużo niekoniecznie potrzebnych programów. Czy to powyrzucać czy nie -> decyzja nalezy do Ciebie.
jak pisalem co ja bym wyrzucił.... to w odpowidzie słyszałem " no wiesz ale kolorowy ekran logowania nie będzie działał" -> dlatego sobie odpusciłem do poziomu virków. Jak chcesz się dowiedziec co można z tego wyrzuć to napisz jak nie -> znaczy się że potrzebujesz....
Auxiliaris
26.01.05 - 21:37
Wywaliłbym to:

KOD
O16 - DPF: {FCF289D4-0AC8-4ED8-BE31-E8AF09606AB5} (download_35mb_com.applet) - http://download.35mb.com/images/downloadapplet.cab

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/.../search/ie.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com


Radio internetowe, jak nie używasz to wykasuj.
KOD
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx


To chyba gry w internecie jak nie potrzebne wywalić.
KOD
O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - https://www.mir3europe.com/nProtect/nPKeyCrypt/npkcx.cab

O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - http://www.e-games.com.my/com/EGamesPlugin.cab



Jeśli nie używasz MSN to zdeinstaluj gada, niepotrzebnie zajmuje resource. Zrób tak -> poszukaj w C:\Windows\inf sysoc.inf otwórz notatnikiem i w tej linijce msmsgs=msgrocm.dll,OcEntry,msmsgs.inf,hide,7 wywal hide zostawiając przecinki i zapisz, zrestartuj kompa, teraz możesz zdeinstalować. Poza tym, wiele wpisów zielonych jest z "Norton AntiVirus™" lecz te raczej są potrzebne. rolleyes.gif
WoocashACN
26.01.05 - 23:32
CYTAT(Eyeore @ 24.01.05 - 13:58)
CYTAT(mrowek)
HijackThis i jego logi - super narzędzie, Jak się tym posługiwać?


Ale tak kobita ma wolnego czasu, albo ma relaksacyjną pracę.
Pozazrościć.... dribble.gif Pewnie Wa-wa albo Kraków... biggrin.gif
Opis jest lepszy od helpu w programie.
*



Opis opisem... ale zobacz pierwsze kilka nieprzypiętych wątków gdzie rozwalają na żywo logi...

Laska faktycznie wymiata ...


edit:



proponuję małą zabawę: wrzuca ktoś loga -- obrabiamy go obrabiamy... aż w/g nas będzie czysto... a potem tego samego do @picasso smile.gif może się uda smile.gif
Sprycjan
26.01.05 - 23:41
CYTAT
proponuję małą zabawę: wrzuca ktoś loga -- obrabiamy go obrabiamy... aż w/g nas będzie czysto... a potem tego samego do @picasso  może się uda

Propozycja bardzo ciekawa ale trzeba by było znaleźdź odpowiednio "zabrudzony" log:p
Luca
27.01.05 - 02:17
No to zacznijmy od tego (nie moj)

Logfile of HijackThis v1.99.0
Scan saved at 02:07:57, on 27.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\windows\system32\spoolsv.exe
C:\windows\Explorer.EXE
C:\windows\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\windows\system32\nvsvc32.exe
C:\windows\system32\tcpsvcs.exe
C:\windows\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\windows\System32\svchost.exe
C:\Dokumente und Einstellungen\PYNIO\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://g.msn.com/8SE/1?http://toolbar.msn....&CM=MsgrInstall
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab
O16 - DPF: {B020B534-4AA2-4B99-BD6D-5F6EE286DF5C} (Symantec Download Bridge) - http://www2.service.t-online.de/dyn/c/23/34/15/2334156.html
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec Licensing Detect Internet Connection - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: GEARSecurity - Unknown - C:\windows\SYSTEM32\GEARSEC.EXE (file missing)
O23 - Service: InCD Helper - Unknown - C:\Programme\Ahead\InCD\InCDsrv.exe (file missing)
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
pyzio2
27.01.05 - 03:10
CYTAT(Eyeore @ 26.01.05 - 20:52)
(file missing) - zagubiony plik znaczy się odinstalowany @Pysio nie masz wirkow, ale na pewnomasz tam równoczesnie urucomionych dużo niekoniecznie potrzebnych programów. Czy to powyrzucać czy nie -> decyzja nalezy do Ciebie.
jak pisalem co ja bym wyrzucił.... to w odpowidzie słyszałem " no wiesz ale kolorowy ekran logowania nie będzie działał" -> dlatego sobie odpusciłem do poziomu virków. Jak chcesz się dowiedziec co można z tego wyrzuć to napisz jak nie -> znaczy się że potrzebujesz....
*



z checia wyslucham twojego zdania na temat wyczyszczenia mojego loga smile.gif


do rad pitola sie juz zastosowalem wink.gif i odrazu lepiej
Eyeore
27.01.05 - 12:48
CYTAT(pyzio2 @ 26.01.05 - 14:30)
Logfile of HijackThis v1.99.0
Scan saved at 13:26:26, on 2005-01-26
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Sygate\SPF\Smc.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
D:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
D:\Program Files\Common Files\Symantec Shared\ccApp.exe
E:\wir\Norton Ghost\GhostStartTrayApp.exe
D:\WINDOWS\System32\RUNDLL32.EXE
F:\Program Files\D-Tools\daemon.exe
D:\Program Files\Winamp\winampa.exe
D:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Gadu-Gadu\gg.exe
D:\Program Files\Microsoft Office\Office\1045\OLFSNT40.EXE
E:\wir\NORTON~2\GHOSTS~2.EXE
E:\wir\Norton AntiVirus\navapsvc.exe
E:\wir\Norton Utilities\NPROTECT.EXE
D:\WINDOWS\System32\nvsvc32.exe
E:\wir\SPEEDD~1\nopdb.exe
D:\WINDOWS\System32\svchost.exe
D:\Documents and Settings\Pyzio\Pulpit\hijackthis1.99\HijackThis.exe
D:\WINDOWS\System32\wuauclt.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/.../search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com
Przywróciłbym do defaultowych np: www.google.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
jeśli nie potrzbujesz oglądać dokumentów *.pdf w oknie przegladarki internetowej

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FLASHGET\jccatch.dll
Niepotrzebny monitor od flashgeta

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\wir\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
jak nie słuchasz radia via IE + Windows media player

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\fgiebar.dll
J/w od flashgeta

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\wir\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
Jak nie potrzebujesz widzieć po włożeniu płyty cd, że mozna ja nagrac w nero ...

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "D:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"
Zupełnie niepotrzebne monitory cloneCD

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
Niekonieczny toolbar od sterów nvidii po usunięciu gry moga wolniej działać o jakieś 1-3%

O4 - HKLM\..\Run: [ccApp] "D:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "D:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [GhostStartTrayApp] E:\wir\Norton Ghost\GhostStartTrayApp.exe
Wiem że masz nortona Ghosta, ale po co on ma działać w trayu? wywołuje się go tylko wtedy kiedy jest potrzebny

O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
J/W od sterow nvidii

O4 - HKLM\..\Run: [DAEMON Tools-1033] "F:\Program Files\D-Tools\daemon.exe"  -lang 1033

O4 - HKLM\..\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe
Niepotrzena ikonka, monitor winampa obok zegarka przecież program i tak uruchamia się skrotu

O4 - HKLM\..\Run: [SSC_UserPrompt] D:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
Z messengera to ktos jeszcze korzysta? No może są tacy ja nie...

O4 - HKCU\..\Run: [Komunikator] D:\Program Files\Tlen.pl\tlen.exe
O4 - HKCU\..\Run: [SuperAdBlocker] D:\Program Files\SuperAdBlocker.com\Super Ad Blocker\SAdBlock.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
Skoro masz tlen to po co jeszcze gdau gadu ? może czasposzukać jakiegos komunikatora co będzie w sobie miał zintergrowaną obsługe większej ilości standadów np: Miranda ?

O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE
Zupełnie niepotrzebne z MS OFffice

O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = D:\Program Files\Microsoft Office\Office\1045\OLFSNT40.EXE
monitor drukarki/faksu do faxowania z kompa jek ma się modem

O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - D:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - D:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
Dwa powyżej czy rzeczywiście potrzbujesz żeby flaszget startował razem z systemem ? może lepiej go uruchamiać ręcznie kiedy jest potrzebny ? Zdaje się że masz wersję z bannerem

O12 - Plugin for .spop: D:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
Wywalić

O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - http://www.e-games.com.my/com/EGamesPlugin.cab
jkak grasz w gry on-line to to potrzebujesz

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1094901086632
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - https://www.mir3europe.com/nProtect/nPKeyCrypt/npkcx.cab
O16 - DPF: {FCF289D4-0AC8-4ED8-BE31-E8AF09606AB5} (download_35mb_com.applet) - http://download.35mb.com/images/downloadapplet.cab
Nie wiem do czego to są applety ja bym wywalił bo nie korzystam z tego

O23 - Service: Symantec Event Manager - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: GhostStartService - Symantec Corporation -

E:\wir\NORTON~2\GHOSTS~2.EXE
Norton ghost wzmiankowny powyżej - usunąć

O23 - Service: Usługa Auto-Protect w programie Norton AntiVirus - Symantec Corporation - E:\wir\Norton AntiVirus\navapsvc.exe

O23 - Service: npkcsvc - INCA Internet Co., Ltd. - D:\WINDOWS\System32\npkcsvc.exe
http://eng.nprotect.co.kr/

O23 - Service: Norton Unerase Protection - Symantec Corporation - E:\wir\Norton Utilities\NPROTECT.EXE

O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
J/W od sterow Nvidii

O23 - Service: Super Ad Blocker Service - Unknown - D:\Program Files\SuperAdBlocker.com\Super Ad Blocker\SABSVC.EXE (file missing)
O23 - Service: ScriptBlocking Service - Symantec Corporation - D:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sygate Personal Firewall Pro - Sygate Technologies, Inc. - D:\Program Files\Sygate\SPF\Smc.exe

O23 - Service: Speed Disk service - Symantec Corporation -
E:\wir\SPEEDD~1\nopdb.exe
Monitor speedsika z Nortona niepotrzebne bo speeddisk i tak urucamiasz ręcznie kiedy potrzebujesz, defragmentacja na NTFS raz na 4-6 miesięcy w zupełnosci wystarczy

O23 - Service: SymWMI Service - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
czy to security center od nortona antivira jest potrzebne czy nie nie powiem - pewnie masz wersję 2004-2005 lub z norton util... to dobry pakiet, ale krowiasty

log przy wylaczonym ie
*

To co pogrubiłem
Na koniec wszedłbym w usługi i powyłaczał to czego nie potrzebuję i wykorzystał magiczny program xpAntispy
http://www.osiol.net/index.php?showtopic=512
PioWit
27.01.05 - 14:07
KOD
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\System32\Ati2evxx.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe
D:\Documents and Settings\PW\Pulpit\hijackthis1.99\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KAVPersonal50] D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [WheelMouse] D:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [ATIPTA] D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Outpost Firewall] D:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKCU\..\Run: [AtiTrayTools] "D:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe"
O17 - HKLM\System\CCS\Services\Tcpip\..\{F50EDE7D-8179-4459-8514-A584AF20D6F6}: NameServer = 10.0.0.2
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: kavsvc - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Outpost Firewall Service - Agnitum - D:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe


No dobra fachmany, wyczyscie cos tutaj. a_rotfl.gif


Pozdrawiam
Eyeore
27.01.05 - 14:29
CYTAT(PioWit @ 27.01.05 - 15:07)
KOD
O4 - HKLM\..\Run: [WheelMouse] D:\PROGRA~1\A4Tech\Mouse\Amoumain.exe


No dobra fachmany, wyczyscie cos tutaj. a_rotfl.gif

Pozdrawiam
*

Wiedziałem masz 20-to guziczkową myszkę clap.gif (3 przyciskową + 2 kółka windows obsłuży sam w sobie)
Pozdrawiam
PioWit
27.01.05 - 14:38
CYTAT(Eyeore @ 27.01.05 - 14:29)
CYTAT(PioWit @ 27.01.05 - 15:07)
KOD
O4 - HKLM\..\Run: [WheelMouse] D:\PROGRA~1\A4Tech\Mouse\Amoumain.exe


No dobra fachmany, wyczyscie cos tutaj. a_rotfl.gif

Pozdrawiam
*

Wiedziałem masz 20-to guziczkową myszkę clap.gif (3 przyciskową + 2 kółka windows obsłuży sam w sobie)
Pozdrawiam
*




Nie przesadzaj. smile.gif Piec przyciskow i dwa scrolle. Winda, raczej nie mapuje poprawnie, takich wynalazkow. smile.gif Poza tym, nadzorowanie stanu, naladowanie akumulatorkow.



Pozdrawiam

Swoja droga, jak patrze na niektore logi, to zadaje sobie pytanie - ludzie na co Wam to wszystko? blink.gif


Pozdrawiam
gulon
27.01.05 - 14:40
Ja bym usunął to:

KOD
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [AtiTrayTools] "D:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe"
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\System32\Ati2evxx.exe


i to

O4 - HKLM\..\Run: [ATIPTA] D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
PioWit
27.01.05 - 15:43
CYTAT(gulon @ 27.01.05 - 14:40)
Ja bym usunął to:

KOD
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [AtiTrayTools] "D:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe"
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\System32\Ati2evxx.exe


i to

O4 - HKLM\..\Run: [ATIPTA] D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
*


Panel od karty dzwiekowej i graficznej. smile.gif @gulon dlaczego chcesz mi to zrobic? smile.gif


Pozdrawiam
Bigos
27.01.05 - 15:49
Ciekawe gdzie, skubany pochował koksik do myszki a_rotfl.gif

.....:::::8!G#$:::::.....
WoocashACN
27.01.05 - 16:06
tak baj-de-łej: wczoraj wyciąłem userowi mnóstwo śmiecia... jednak nie byłem jeszcze zapoznany z tą specjalistką od Hijack This... i niestety przeciąłem trochę wpisów O10... dziś reinstaluję jej kompa... fajny komunikat był o tym że karta sieciowa nie ma już powiązań i nie jest kartą sieciową...

"trza paczeć co sie robi"
gulon
27.01.05 - 16:18
CYTAT(PioWit @ 27.01.05 - 15:43)
Panel od karty dzwiekowej i graficznej. smile.gif @gulon dlaczego chcesz mi to zrobic? smile.gif

Hehe. Ja bym tak zrobił sobie smile.gif ... Panele wolę mieć tylko w panelu sterowania...
Sarenka
27.01.05 - 17:07
CYTAT(Jasia @ 24.01.05 - 21:08)
No i po robocie, komputer w/w definitywnie padł, chyba będzie jednak format. sad.gif
*


Moze chodzi o to co mi sie przytrafilo po wywaleniu tego co trzeba blink.gif
ja jak wyczyscilam kompa to dokumentnie smiley15.gif
i na drugi dzien nie mialam wejscia na internet
i do dzis nie moge zrozumiec co wywalilam ciach.gif smiley15.gif
ale to juz po zamna po za tym ze musialam kupic dowy dysk i zrobic formata

ps. ale ze mialam duzo smieci to fakt teraz juz nie mam (chyba blink.gif )
Eyeore
27.01.05 - 17:40
Hijack odpalony z hdd -> jak mu się robi FIXChecked -> w bieżącym katalogu zakłada sobie folder BACKUP z plikami po jednym dla każdego usuniętego wpisu rejestru :
np: backup-20050127-173839-554 Pod guziczkiem CONFIG -> BACKUPS kryją się właśnie te wpisy, które jednym kliknięciem można z powrotem przywrócić do rejestru....
pyzio2
27.01.05 - 23:37
@Eyeore a ktory z tych wpisow z mojego loga odpowiada z internet bo gdy usunę te które mi podpowiedziales net przestaje dzialac sad.gif a juz golym okiem widzialem roznice w uruchamianiu windy tongue.gif worthy.gif
marcjusz
28.01.05 - 09:21
Proszę Was o pomoc analizowałem swojego log-a i mam pewne wątpliwości :
CYTAT
Logfile of HijackThis v1.99.0
Scan saved at 09:07:02, on 2005-01-28
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\devldr32.exe
F:\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\pctspk.exe
F:\Kerio\Personal Firewall 4\kpf4gui.exe
F:\Kerio\Personal Firewall 4\kpf4gui.exe
D:\emule0.43b-stormit-v28-bc2-d-bin\emule.exe
C:\Program Files\Hewlett-Packard\HP Software Update\hpwuSchd.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
F:\Opera7\opera.exe
F:\Downloadz\down\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [KAVPersonal50] "F:\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\RunServices: [WindowsRegKey updated] ewinupdate32.exe
O4 - HKLM\..\RunOnce: [SWUPath] C:\Program Files\Hewlett-Packard\HP Software Update\shellExWin.exe -m
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WindowsRegKey updated] ewinupdate32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: gwum.lnk = C:\Program Files\Gigabyte\Gigabyte Windows Utility Manager\gwum.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://F:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - F:\IrfanView\Ebay\Ebay.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1102235421046
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{66606EE4-147D-47F2-B116-2ECE8B359B7E}: NameServer = 192.168.20.254,213.134.128.20
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: kavsvc - Kaspersky Lab - F:\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - F:\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: PCTEL Speaker Phone - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

Czym są te wytłuszczone wpisy - nie mogę tego nigdzie znaleźć. Jeżeli wpadnie wam w oko coś jeszcze do wyrzucenia to będe bardzo wdzięczny.
Eyeore
28.01.05 - 13:05
CYTAT(pyzio2 @ 28.01.05 - 00:37)
@Eyeore a ktory z tych wpisow z mojego loga odpowiada z internet bo gdy usunę te które mi podpowiedziales net przestaje dzialac sad.gif a juz golym okiem widzialem roznice w uruchamianiu windy tongue.gif worthy.gif
*


O23 - Service: npkcsvc - INCA Internet Co., Ltd. - D:\WINDOWS\System32\npkcsvc.exe
http://eng.nprotect.co.kr/
To jest od firewalla, dalem link zebys sprawdził dokładnie co to jest
czy sytem go potrzebuje czy nie

To co przypniemy sobie ten temat
gulon
28.01.05 - 13:29
CYTAT(Eyeore @ 28.01.05 - 13:05)
To co przypniemy sobie ten temat

Moim zdaniem warto. Na pewno zachęci to kilka osób do przeskanowania i pozbycia się niepotrzebnego balastu...
Eyeore
28.01.05 - 15:41
eWinUpdate32.exe - to nie pochodzi z windows, ani z żadnego znanego mi oprogramowania.

Podejrzewam że to W32/SdBot-BM - trojanek (zbieżnośc nazw), a skor tak to musisz zatrzymać proces w menadżer zadań -> usunąć skrót hijackiem i skasować plik na dysku. Gdyby był wyjątkowo uparty to w trybie awaryjnym.

Natomiast reszta wpisów to j/w te nero i itp.itd
WoocashACN
28.01.05 - 16:00
A ja dawno tak czysto nie miałem smile.gif

CYTAT
Logfile of HijackThis v1.99.0
Scan saved at 16:01:26, on 2005-01-28
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Network Associates\VirusScan\Avsynmgr.exe
C:\WINNT\System32\svchost.exe
C:\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\inetsrv\inetinfo.exe
C:\Program Files\Network Associates\VirusScan\VsStat.exe
C:\Program Files\Network Associates\VirusScan\Vshwin32.exe
C:\Program Files\Common Files\Network Associates\McShield\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\Avconsol.exe
C:\WINNT\Explorer.EXE
C:\Tivoli\lcf\bin\w32-ix86\mrt\lcfep.exe
C:\Program Files\BMT MouseTracker\MouseTrack.exe
C:\WINNT\system32\ctfmon.exe
C:\tivoli\lcf\inv\popup\WSINFO.exe
C:\Program Files\United Devices\UD.EXE
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\United Devices\ud_7174683.exe
C:\Program Files\United Devices\ud_7174683_0.dir\ud_ligfit_Release.exe
C:\Program Files\Microsoft Office\Office10\OUTLOOK.EXE
C:\Program Files\Opera 8 Beta\Opera.exe
C:\Documents and Settings\abcde\Pulpit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [lcfep] "C:\Tivoli\lcf\bin\w32-ix86\mrt\lcfep.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SwdisUsrPCN.ABCDE-noncoe.wsw.pl.pfz] "C:\Tivoli\lcf\dat\1\cache\lib\w32-ix86\wdusrpcn.exe" "C:\Tivoli\swdis\1\wdusrpcn.env"
O4 - HKLM\..\Run: [USerPopups] C:\tivoli\lcf\inv\popup\USER_P~1.EXE c
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [BMT] C:\Program Files\BMT MouseTracker\MouseTrack.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: UD Agent.lnk = C:\Program Files\United Devices\UD.EXE
O4 - Global Startup: WSINFO.lnk = C:\tivoli\lcf\inv\popup\WSINFO.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
O16 - DPF: {7261EE42-318E-490A-AE8F-77649DBA1ECA} (JNILoader Control) - https://www-1.ibm.com/sametime/stmeetingroo...STJNILoader.cab
O23 - Service: AVSync Manager - Unknown - C:\Program Files\Network Associates\VirusScan\Avsynmgr.exe
O23 - Service: Usługa administracyjna Menedżera dysków logicznych - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GFI LANguard N.S.S. 5.0 attendant service - GFI Software Ltd. - C:\Program Files\GFI\LANguard Network Security Scanner 5.0\lnssatt.exe
O23 - Service: Tivoli Endpoint - Unknown - C:\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
O23 - Service: McShield - Unknown - C:\Program Files\Common Files\Network Associates\McShield\Mcshield.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
Luca
28.01.05 - 16:46
A do czego masz to?

O16 - DPF: {7261EE42-318E-490A-AE8F-77649DBA1ECA} (JNILoader Control) - https://www-1.ibm.com/sametime/stmeetingroo...STJNILoader.cab
konflikt
28.01.05 - 17:55
CYTAT(Eyeore @ 28.01.05 - 13:05)
O23 - Service: npkcsvc - INCA Internet Co., Ltd. - D:\WINDOWS\System32\npkcsvc.exe
http://eng.nprotect.co.kr/
To jest od firewalla, dalem link zebys sprawdził dokładnie co to jest
czy sytem go potrzebuje czy nie
*

Akurat to się instaluje z niektórymi grami online, a służy do ochrony przed wszelkiej maści speedhack'ami itp.
smiley13.gif
marcjusz
28.01.05 - 21:49
Wielkie dzięki @Eyeore i respekt.gif
Jesteś dobry w te klocki i zawsze można liczyć na Twoją pomoc.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2012 Invision Power Services, Inc.