HiJackThis i Silent Runners - krótki opis i używanie

Ameno

Mistrz papryczki chilli
Dołączył
27 Grudzień 2006
Posty
1 124
Punkty reakcji
0
Wiek
113
Miasto
Gdzieś tam
HijackThis


Pobierz HijackThis 1.99.1
Pobierz HijackThis 1.99.1
(wersja hijacka z rozszerzeniem .com na okoliczność wirusów, które blokują pliki .exe)

Opis
HijackThis lokalizuje różnej maści syf: trojany, robaki, spyware...
Listuje wejścia z rejestru, które są często wykorzystywane przez "malware".
Pokazuje wpisy prawidłowe jak i szkodliwe, dlatego amatorom zaleca się nie usuwania wpisów na własną ręke, grozi to uszkodzeniem systemu lub programu, którego dotyczył wpis. Dlatego też logi wklejamy w tym temacie by poddać je analizie bardziej zaawansowanym użytkownikom.


Skanowanie, tworzenie i usuwanie loga
http://img65.imageshack.us/img65/1874/doasystemscandt1.jpg

Klikamy na „Do a system scan and save a logfile” , HijackThis wykona skanowanie systemu, po czym otworzy się okno z dokumentem tekstowym ,a w nim nasz log. Log jest zapisywany w folderze, w którym znajduje się HijackThis.

Przykład loga:
Kod:
Logfile of HijackThis v1.99.1
Scan saved at 15:23:36, on 2006-08-03
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Opera\Opera.exe
C:\Program Files\foobar2000\foobar2000.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\ŁUKASZ\Moje dokumenty\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe


Kasujemy wpis w HijackThis
http://img470.imageshack.us/img470/8121/onlyscan0ao.jpg

Klikamy na „Do a system scan only”, Program wykona skan bez tworzenia loga, po czym zobaczymy listę wpisów.
http://img470.imageshack.us/img470/3944/fix2ht.jpg

Zaznaczamy wpisy do usunięcia i klikamy „Fix checked”.



Silent Runners


Pobierz Silent Runners

prawy klik >>> Zapisz jako element docelowy

Opis
Silent Runners różni się od Hijacka. Silent Runners także tworzy log z wpisami prawidłowymi i szkodliwymi. Jednank HijackThis jest bardziej rozbudowany, ma o wiele więcej funkcji, które nieraz się przydają.Silent generuje bardziej obszernego loga od hijacka, pokazuje to czego nie widzi hijack. Jest dobrym uzupełnieniem dlatego, najlepiej od razu wklejać 2 logi (silent i hijackthis)


Po uruchomieniu Silent Runners pokaże nam się komunikat z pytaniem w jaki sposób ma skanować
http://img470.imageshack.us/img470/421/poczatek8ob.jpg

„Tak” - Wybierając tą opcje, silent w szybkim tempie tworzy skrócony log
„Nie” - Wybierając tą opcje silent stworzy obszernego loga,którego dość długo generuje. ( zawsze robimy loga z tej opcji)
„Anuluj” - wiadomo ;]

http://img470.imageshack.us/img470/5374/startsilenta0bh.jpg

Od tego momentu odbywa się skan rejestru i kompletowanie loga. Uwaga: Program pracuje w tle i nie widać rezultatów skanowanie. Dlatego też nie obawiajcie się. Gdy skanowanie zakończy się wyświetli się komunikat:
http://img470.imageshack.us/img470/5489/done2ud.jpg

Log jest tworzony automatycznie w folderze w którym jest Silent Runners w postaci pliku Startup Programs (data-czas). TXT. Mamy więc loga, otwieramy go w Notatniku i przeklejamy jego zawartość do posta.

 

Ameno

Mistrz papryczki chilli
Dołączył
27 Grudzień 2006
Posty
1 124
Punkty reakcji
0
Wiek
113
Miasto
Gdzieś tam
Analiza logów HijackThis

R0, R1, R2, R3 - Strony startowe i wyszukiwarki IE

"Miejsce" w systemie:

Rejestr ..... a wyniki tego ogląda się przy każdym uruchomieniu przeglądarki.

"Wygląd" w logu:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/spad/start.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/spad/start.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.myexexex.com/search.php?said=spage
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.myexexex.com/search.php?said=spage

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.myexexex.com/searchbar.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.myexexex.com/search.php?said=spage&qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.myexexex.com/search.php?said=spage
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.myexexex.com/search.php?said=spage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.myexexex.com/searchbar.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.myexexex.com/search.php?said=spage&qq=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/spad/start.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.myexexex.com/search.php?said=spage&qq=%s

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = tu adresik IP/nazwa domeny + port na którym chodzi proxy
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R2 - (na razie to nie jest pokazywane przez HijackThis)

R3 - Default URLSearchHook is missing
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - (no file)



Wpisy R0 i R1 powinny być usuwane jeśli to nie są strony ustawione przez ciebie! (www.google.com, www.onet.pl). Dramatycznym wyjątkiem od reguły są trojany CWS z ukrytymi loaderami tych wpisów.
Wpis R3 zawsze naprawiamy chyba, że figuruje tu nazwa programu, który znasz i sam instalowałeś (np. Copernic).

QUOTE
Nieusuwalne wpisy R3 z poziomą kreseczką "_" typu:

R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ - (no file)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
 

Ameno

Mistrz papryczki chilli
Dołączył
27 Grudzień 2006
Posty
1 124
Punkty reakcji
0
Wiek
113
Miasto
Gdzieś tam
O2 - BHO czyli Browser Helper Objects

"Miejsce" w systemie:

BHO to są pluginy poszerzające funkcjonalność przeglądarki. Graficznie jest to dodatek typu nowe menu i inne elementy w interfejsie IE (patrz dalej na identyfikatory O3 i O9)

"Wygląd" w logu:


Szkodliwe:
______________________

O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL
O2 - BHO: (no name) - {01C5BF6C-E699-4CD7-BEA1-786FA05C83AB} - C:\Program Files\SysAI\AproposPlugin.dll
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\PROGRAM FILES\MYWEBSEARCH\SRCHASTT\1.BIN\MWSSRCAS.DLL
O2 - BHO: (no name) - {A9A674BF-771F-42E5-A440-D20DDA85A862} - (no file)


Prawidłowe:
______________________

O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL

HO może być zarówno pożyteczne (np. Google Toolbar, Acrobat Reader) jak i szpiegowskie (MyWebSearch). W przypadku kiedy kompletnie nie rozpoznajesz danego BHO musisz znaleźć o nim jakieś informacje przed usunięciem go. Przydatna w identyfikacji może się okazać super stronka BHO & Toolbar List. Wyszukiwanie należy przeprowadzać raczej na class ID (CLSID) czyli ten numerek pomiędzy {} aniżeli na nazwę pliku. Szpiedzy bowiem mogą tworzyć zmienne nazwy plików przy zachowaniu jednego i tego samego numeru CLSID. Na stronce BHO & Toolbar List szpiedzy są oznaczeni jako X a nieszkodliwe BHO jako L.

Jeśli usuniesz te wejścia HijackThis skasuje również i powiązany plik dll. Zdarza się jednak iż plik ten może być ciągle "w użyciu" pomimo iż Internet Explorer jest zamknięty. Wtedy startujesz do trybu awaryjnego i kasujesz plik ręcznie.
 

Ameno

Mistrz papryczki chilli
Dołączył
27 Grudzień 2006
Posty
1 124
Punkty reakcji
0
Wiek
113
Miasto
Gdzieś tam
O3 zawsze kasujemy bo nawet pozyteczne czesto jest szkodliwe


O4 - Autostart programów z kluczy rejestru lub folderu Startup

"Miejsce" w systemie:

Automatyczne uruchamianie programów wraz ze startem Windows z:

Rejestr:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

Startup: Aplikacje ładujące się z konkretnego profilu użytkownika. Skróty startowe są umieszczone w folderze:
C:\Documents and Settings\Nazwa konta\Start menu\Programs\Startup

Global Startup: Aplikacje ładujące się ze wszystkich profili. Skróty startowe są umieszczone w folderze:
Win9x/Me - C:\Windows\Start Menu\Programs\StartUp
WinNT/2K - C:\Winnt\Profiles\All Users\Start Menu\Programs\StartUp
WinXP - C:\Documents and Settings\All Users\Start Menu\Programs\Startup


"Wygląd" w logu:


Szkodliwe:
______________________

O4 - HKLM\..\Run: [c12167a6ea6e7c86534b1466697d38fc] C:\Program Files\Internet Explorer\c12167a6ea6e7c86534b1466697d38fc.exe
O4 - HKLM\..\Run: [IE Respository] iexplore.exe
O4 - HKLM\..\RunServices: [IE Respository] iexplore.exe
O4 - HKLM\..\Run: [Winsock2 driver] GG.EXE
O4 - Global Startup: winlogon.exe


Prawidłowe:
______________________

Procesy Windows 98/Me:
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

nVidia:
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit

Inne aplikacje:
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE


Przy okazji:

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

Nie dygać tongue.gif :
 

Ameno

Mistrz papryczki chilli
Dołączył
27 Grudzień 2006
Posty
1 124
Punkty reakcji
0
Wiek
113
Miasto
Gdzieś tam
O5 - Ikona Opcji Internetowych NIE widoczna w Panelu sterowania

"Miejsce" w systemie:

Jak w opisie wyżej czyli Control Panel (Panel sterowania) >>> Internet Options (Opcje internetowe)

user posted image

Dane dotyczące widoczności poszczególnych elementów w Panelu sterowania są przechowywane w pliku control.ini.

"Wygląd" w logu:

O5 - control.ini: inetcpl.cpl=no

O ile ty sam lub jakiś twój kumpel nie ukrył specjalne tejże ikony czym prędzej to naprawiasz via HijackThis!



O6 - Opcje Internetowe IE zablokowane przez "Administratora"

"Miejsce" w systemie:

Blokada uruchamiania Opcji Internetowych i zmian stron startowych nałożona w rejestrze a objawiająca się komunikatem "Operacja została anulowana ze względu na ograniczenia nałożone na ten komputer, skontaktuj się z administratorem systemu" przy każdorazowej próbie uruchomienia tychże opcji.

"Wygląd" w logu:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

Było u nas już na forum TU. I historia się powtarza czyli o ile ty sam lub ktoś kto ci celowo coś nie ustawiał na kompie czym prędzej to naprawiasz.

UWAGA: Użytkownicy Spybot Search & Destroy powinni w pierwszej kolejności sprawdzić czy program ten nie ma nałożonej blokady. W najnowszej wersji Spybota ta opcja jest w Tools >>> IE Tweaks, w starszych pod Immunize.

user posted image



O7 - Edytor rejestru Regedit zablokowany przez "Administratora"

"Miejsce" w systemie:

Blokada edytora rejestru nałożona w .... rejestrze a objawiająca się komunikatem "Edycja rejestru została wyłączona przez administratora sieci" przy każdorazowej próbie uruchomienia polecenia Start >>> Uruchom >>> regedit.

"Wygląd" w logu:

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Ten wpis zawsze naprawiamy gdyż to oczywisty znak działania szpiegów. Jedyny wyjątek jest na kompach na których istnieją konta limitowanych użytkowników a zostały założone celowo.



O8 - Dodatkowe opcje w menu prawokliku w IE

"Miejsce" w systemie:

Jak w opisie wyżej czyli prawy klik na stronkę w IE i ujrzymy coś takiego:

user posted image

Te dane są zgrupowane w rejestrze w kluczu:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt

"Wygląd" w logu:


Szkodliwe:
______________________

O8 - Extra context menu item: Bookmark This Page - C:\Program Files\CommonName\Toolbar\createbookmark.htm
O8 - Extra context menu item: Add A Page Note - C:\Program Files\CommonName\Toolbar\createnote.htm
O8 - Extra context menu item: Email This Link - C:\Program Files\CommonName\Toolbar\emaillink.htm
O8 - Extra context menu item: Search using CommonName - C:\Program Files\CommonName\Toolbar\navigate.htm


Prawidłowe:
______________________

O8 - Extra context menu item: &Download with &DAP - D:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - D:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Download All by FlashGet - D:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - D:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Blokuj wszystkie obrazy z tego serwera - E:\Program Files\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Dodaj do listy blokowanych reklam - E:\Program Files\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Otwórz wszystkie adresy z tej strony... - E:\Program Files\Avant Browser\OpenAllLinks.htm
O8 - Extra context menu item: Podświetl - E:\Program Files\Avant Browser\Highlight.htm
O8 - Extra context menu item: Szukaj - E:\Program Files\Avant Browser\Search.htm

O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html



Tu sprawa jest w miarę prosta. To co kojarzysz jako instalowane przez samego siebie pozostaje nietknięte to czego kompletnie nie znasz i brzmi podejrzanie od razu usuwasz.
Mimo to jesli sprzątamy kompa tu usuwamy zawsze
Bo to w niczym nie szkodzi

O9 - Dodatkowe przyciski w głównym pasku narzędziowym lub dodatkowe opcje w menu "Narzędzia" w IE

"Miejsce" w systemie:

Jak w opisie wyżej czyli np. wygląda to tak:

user posted image

user posted image

"Wygląd" w logu:


Prawidłowe:
______________________

O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)


Szkodliwe:
______________________

O9 - Extra button: ?????? (HKLM)

Identyczna sytuacja jak z O8: znasz i potrzebujesz nie ruszasz, nie znasz kasujesz. Te wejścia generalnie zawsze można usuwać bez uszczerbku "na zdrowiu".
Ale jeśli poprostu sprzątamy to usuwamy wszystko
 

mariusz0884

Nowicjusz
Dołączył
31 Marzec 2009
Posty
18
Punkty reakcji
0
Zajmuje się usuwaniem problemów komputerowych przez internet. Jeżeli chcesz żebym ci pomógł to pisz na gg: 1524197 (nie udzielam publicznej pomocy, bo nie lubie zgadywać co może ci pomóc, tak jak to wszyscy robią łudząc się że może się uda). Działam na zasadzie "zdalny pulpit". Oto strona z opiniami jakie mi wystawiały osoby którym pomogłem http://www.dui.cba.pl/opinie.JPG
 

jazzik1

Nowicjusz
Dołączył
7 Czerwiec 2009
Posty
2
Punkty reakcji
0
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:01:13, on 2009-06-07
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe
C:\Program Files\Lexmark 3300 Series\lxccmon.exe
C:\Program Files\Microsoft IntelliPoint\dpupdchk.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\lxcccoms.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclIrSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclMSBTSrv.exe
C:\WINDOWS\System32\irftp.exe
C:\Program Files\Nokia\Nokia PC Suite 7\ImageStore.exe
C:\Program Files\Internet Explorer\iexplore.exe
c:\program files\winamp toolbar\WinampTbServer.exe
D:\Program Files\Valve\Steam\Steam.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://pogon.v.pl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: ExpertEnhancer - {35069396-3567-9D8B-86E5-B3D3B89DD644} - C:\Program Files\ExpertEnhancer\ExpertEnhancer-2.dll (file missing)
O2 - BHO: Rmn plugin - {47D92EB6-E52C-4cda-92A6-2369963F4913} - skrb32.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [IntelZeroConfig] C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [Base frag grid bows] C:\Documents and Settings\All Users\Dane aplikacji\Cast ping base frag\FLAG ISO.exe
O4 - HKLM\..\Run: [lxccmon.exe] "C:\Program Files\Lexmark 3300 Series\lxccmon.exe"
O4 - HKLM\..\Run: [LXCCCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCCtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlhr] RunDll32.exe %SystemRoot%\System32\AdvPack.Dll,LaunchINFSection %SystemRoot%\inf\nlite.inf,C (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1242672623046
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/...ash/swflash.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O24 - Desktop Component 0: (no name) - http://marcin2118122.wrzuta.pl/img/file/wI...ki_-_tapety_346

--
End of file - 9992 bytes
mogłby ktos to sprawdzic?
 

Gressil

®
Administrator
Dołączył
17 Kwiecień 2009
Posty
6 075
Punkty reakcji
561
Nie przejmuj się takimi wpisami. Przyjdzie Reque i zrobi porządek ;)
 
Do góry