Gość kev Opublikowano 28 Listopada 2005 Zgłoś Opublikowano 28 Listopada 2005 Sprawa wygląda tak : Qmpel przysłał mi trojana , pobawił się trochę ;] i dał sobie spokój bo usunąłem trojana (Avast roX) ;] ... Ale teraz jak właącze kompa to mi sie włączają ZAWSZE 3 okna Moich dokumentów ... już nie wiem co to ... 1.Skanowałem Antywirem 2.Skanowałem Anty trojanem 3.W msconfig/uruchamianie przy starcie ---> nie ma nic podejżanego ... nie mam żadnego dziwnego procesu uruchmionego... co to może być ? Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Nyny Opublikowano 29 Listopada 2005 Zgłoś Opublikowano 29 Listopada 2005 Sprawdz nie tylko msconfig ale i autostart (start-programy) oraz rejestr czy w kluczach ..machine/user microsoft, windows, current verision, run nie ma nic podejrzanego Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Kolobos Opublikowano 29 Listopada 2005 Zgłoś Opublikowano 29 Listopada 2005 Wklej moze log z hijackthis na forum. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Gość kev Opublikowano 29 Listopada 2005 Zgłoś Opublikowano 29 Listopada 2005 Logfile of HijackThis v1.99.1 Scan saved at 15:09:44, on 2005-11-29 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\Program Files\PERFECT SERIES\Optical Mouse\3.0\MOUSE32A.EXE C:\WINDOWS\SOUNDMAN.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\D-Tools\daemon.exe D:\Program Files\QuickTime\qttask.exe D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\Program Files\VIA\RAID\raid_tool.exe D:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Mozilla Firefox\firefox.exe D:\Program Files\Winamp\winamp.exe C:\Documents and Settings\Michał\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FlashGet\jccatch.dll O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "D:\Program Files\RivaTuner v2.0 RC 15.7\RivaTuner.exe" /S O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\PERFECT SERIES\Optical Mouse\3.0\MOUSE32A.EXE O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [RemoteControl] "D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Download All by FlashGet - D:\Program Files\FlashGet\jc_all.htm O8 - Extra context menu item: Download using FlashGet - D:\Program Files\FlashGet\jc_link.htm O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{995B24CE-24CD-456C-BF78-DEBAA129ECBC}: NameServer = 62.233.128.17,213.77.115.28 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
deserted Opublikowano 29 Listopada 2005 Zgłoś Opublikowano 29 Listopada 2005 Spróbuj to usunąć. Pamiętaj że gdyby coś było nie tak, to można przywrócić z kopi zapasowej programu HijackThis. O17 - HKLM\System\CCS\Services\Tcpip\..\{995B24CE-24CD-456C-BF78-DEBAA129ECBC}: NameServer = 62.233.128.17,213.77.115.28 BTW Można by jeszcze pare innych (według mnie) zbędnych rzeczy pousuwać :) Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Gość kev Opublikowano 29 Listopada 2005 Zgłoś Opublikowano 29 Listopada 2005 jak to usunąć ;>???? :P Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
deserted Opublikowano 29 Listopada 2005 Zgłoś Opublikowano 29 Listopada 2005 :D Zrób jeszcze raz skan (Do a system scan only), znajdź ten wpis który wcześniej podałem i zaznacz przy nim mały kwadracik po lewej i klik na FixChecked. Jeszcze raz scan i sprawdzamy czy już nie ma wpisu :) Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Kolobos Opublikowano 29 Listopada 2005 Zgłoś Opublikowano 29 Listopada 2005 Przeciez to adresy DNS futuro! Czemu chcesz je usuwac? Mam nadzieje, ze autor ich nie usunal, a jak usunal to niech ustawi jak bylo. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
SGJ Opublikowano 29 Listopada 2005 Zgłoś Opublikowano 29 Listopada 2005 Jesli usunął to juz raczej nie wejdzie na forum i nie przeczyta tego posta. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Gość kev Opublikowano 29 Listopada 2005 Zgłoś Opublikowano 29 Listopada 2005 sgj ----- już trułem dupę mechlikowi o twój numer ;P faktycznie po usunięciu tego nie moge otwierać stron ... ale ... po problemie :) juz nie otwierają się moje dokumenty przy włączaniu kompa ... Po usunięciu tego wpisu wystarczyło jeszcze raz ustawić DNS i tyle :P Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
deserted Opublikowano 30 Listopada 2005 Zgłoś Opublikowano 30 Listopada 2005 (edytowane) Przeciez to adresy DNS futuro! Czemu chcesz je usuwac? Mam nadzieje, ze autor ich nie usunal, a jak usunal to niech ustawi jak bylo. Jesli usunął to juz raczej nie wejdzie na forum i nie przeczyta tego posta. Ten wpis wydał mi się podejżany. Zresztą nie tylko mi, tu > 1785969[/snapback] faktycznie po usunięciu tego nie moge otwierać stron ... ale ... po problemie :) juz nie otwierają się moje dokumenty przy włączaniu kompa ... Po usunięciu tego wpisu wystarczyło jeszcze raz ustawić DNS i tyle :P jak widać efekt zadowalający :D Edytowane 30 Listopada 2005 przez deserted Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Gość kev Opublikowano 30 Listopada 2005 Zgłoś Opublikowano 30 Listopada 2005 (edytowane) a co ma zrobić user Neostrady ? jak usunie ten wpis to co ma zrobic żeby mu strony działały ;>??? bo teżmu qmpel przesłał trojana :P to jego log z hijackthis E:\WINDOWS\system32\Ati2evxx.exe E:\WINDOWS\Explorer.EXE E:\WINDOWS\system32\spoolsv.exe E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe E:\Program Files\Alwil Software\Avast4\ashServ.exe E:\WINDOWS\System32\UAService7.exe E:\Program Files\Winamp\winampa.exe E:\WINDOWS\SOUNDMAN.EXE E:\Program Files\CyberLink\PowerDVD\PDVDServ.exe E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe E:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe E:\Program Files\Messenger\msmsgs.exe E:\Program Files\Gadu-Gadu\gg.exe E:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe E:\Program Files\Alwil Software\Avast4\ashWebSv.exe E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe E:\Program Files\WinRAR\WinRAR.exe E:\DOCUME~1\user\USTAWI~1\Temp\Rar$EX00.797\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - E:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - E:\WINDOWS\Downloaded Program Files\googlenav.dll O4 - HKLM\..\Run: [WinampAgent] E:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [RemoteControl] "E:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [autoclk] autoclk.exe O4 - HKLM\..\Run: [ATIPTA] "E:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [adiras] adiras.exe O4 - HKLM\..\Run: [1qaw3edr5] E:\WINDOWS\System32\userinit.exe O4 - HKCU\..\Run: [spyware Cleaner] "E:\Program Files\Spyware Cleaner\SpywareCleaner.Exe" /boot O4 - HKCU\..\Run: [MSMSGS] "E:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Gadu-Gadu] "E:\Program Files\Gadu-Gadu\gg.exe" /tray O4 - Startup: NEOSTRADA.lnk = ? O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = E:\Program Files\Microsoft Office\Office\1045\OLFSNT40.EXE O4 - Global Startup: Microsoft Office.lnk = E:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: DSLMON.lnk = E:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O8 - Extra context menu item: &Google Search - res://E:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://E:\WINDOWS\Downloaded Program Files\googlenav.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://E:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://E:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsimilar.html O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/pl/big/1.1....g/GoogleNav.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{FEB0500C-4D31-4505-818C-F2CBFC4B895D}: NameServer = 62.233.182.10,62.233.182.11 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: SpywareCleanerService - Unknown owner - E:\Program Files\Spyware Cleaner\SCService.exe (file missing) O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - E:\WINDOWS\System32\UAService7.exe Edytowane 30 Listopada 2005 przez kev Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Kolobos Opublikowano 30 Listopada 2005 Zgłoś Opublikowano 30 Listopada 2005 Do usuniecia w hijackthis: R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - E:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL (file missing) O4 - HKLM\..\Run: [1qaw3edr5] E:\WINDOWS\System32\userinit.exe <- wypakowac plik z plyty instalacyjnej XP przy pomocy expand i z konsoli odzyskiwania tez z plyty z XP podmienic plik na ten wypakowany. O4 - HKCU\..\Run: [spyware Cleaner] "E:\Program Files\Spyware Cleaner\SpywareCleaner.Exe" /boot <- niech to odinstaluj i usunie katalog Spyware... O23 - Service: SpywareCleanerService - Unknown owner - E:\Program Files\Spyware Cleaner\SCService.exe (file missing) <- to wylaczyc w services.msc I moze jeszcze przeskanowac tym: http://download.ewido.net/ewido-setup.exe <- zrob update przed skanowaniem, po przeskanowaniu odinstaluj. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
