hijack-co usunąć z listy?

**Posty:** 4 · przez **de_b** 15 Sie 2005, 22:35

Wczoraj miałam formatowanego kompa. I od wczoraj pojawia mi się co mniej więcej 2 godziny tabliczka:

Windows Security Center

WARNING: Windows Firewall detected suspicious network activity on your computer. Malicious software codes try to steal your privacy information, such as credit numbers, electronic mail accounts, financial data or passwords.

Do you want to learn how to protect your computer?

Gdy klikam Yes otwiera się strona: www.microsoftspywareremoval.com/search.php?q=spyware cleaners
Obojętnie jaki klikam link (a jest tam cała masa: spyware, spywere remover, spyware removal, anti spyware itd.) wyniki są :No Results.

O co tu chodzi?
Mam trzy programy: Mks wir, Ad-aware SE personal i Spybot-Search&Destroy.

Czasami pojawia się też 'chmurka' wychodzące ze startu która 'ostrzega' mnie że mój komputer może być zagrożony, po kliknięciu na nią otwiera się okno sygnatowane przez microsoft i informujące mnie (tez po angielsku) jakim zagrożeniem jest spyware i kierujące na strone podaną powyżej.

Prosze pomóżcie! Nie jestem znawcą i nie mam pojęcia o co chodzi.

przez **Tom@szek** 15 Sie 2005, 22:48

http://forum.programosy.pl/hijackthis-gtobsuga-i-umieszczanie-loga-vt9452.html
Przeczytaj i zastosuj.

**Posty:** 4 · przez **de_b** 15 Sie 2005, 23:17

ok, ale ja nie wiem jaki proces mam zaznaczyć...

[ Dodano: 15.08.2005 22:20:37 ]
StartupList report, 2005-08-15, 23:15:31
StartupList version: 1.52.2
Started from : C:\DOCUME~1\Daria\USTAWI~1\Temp\Rar$EX00.281\HijackThis.EXE
Detected: Windows XP Dodatek SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\MKS\Bin\NetMonSV.exe
C:\Program Files\MKS\Bin\mksmonsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\MKS\Bin\mks_menu.exe
C:\Program Files\MKS\Bin\ABregmon.exe
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\MKS\Bin\mks_scan.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
D:\eMule\emule.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Daria\USTAWI~1\Temp\Rar$EX00.281\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Documents and Settings\All Users\Menu Start\Programy\Autostart]
DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

MKS_MENU = C:\Program Files\MKS\Bin\mks_menu.exe
ABREGMON = C:\Program Files\MKS\Bin\ABregmon.exe
NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
SunJavaUpdateSched = C:\Program Files\Java\jre1.5.0\bin\jusched.exe
WinampAgent = C:\Program Files\Winamp\winampa.exe

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}

--------------------------------------------------

Enumerating Download Program Files:

[Windows Genuine Advantage Validation Tool]
InProcServer32 = C:\WINDOWS\system32\LegitCheckControl.DLL
CODEBASE = http://go.microsoft.com/fwlink/?linkid=39204

[GameDesire Card Games]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\cardsV2.dll
CODEBASE = http://67.15.101.3/g_bin/pl/cards_2_0_0_63.cab

[GameDesire Mahjong]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\Mahjong.dll
CODEBASE = http://67.15.101.3/g_bin/pl/mahjong_2_0_0_18.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\system32\webcheck.dll
SysTray: C:\WINDOWS\system32\stobject.dll

--------------------------------------------------
End of report, 4 861 bytes
Report generated in 0,031 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

I co z tej listy moge usunąć?

**Posty:** 53 · przez **miras84** 15 Sie 2005, 23:21

Umieść logo z hijacka to ludzie którzy wiedzą coś o tym pomogą ci (nie ja) :mrgreen:

pozdro 3m sie

**Posty:** 4 · przez **de_b** 15 Sie 2005, 23:43

miras84 napisał(a):Umieść logo z hijacka to ludzie którzy wiedzą coś o tym pomogą ci (nie ja) pozdro 3m sie

ok jestem tu pierwszy raz i nie mam pojęcia o co ci chodzi...z tym logiem z hijacka, napisz prosze jeszcze raz tak by laik zrozumiał

**Posty:** 2296 · przez **@Marcin** 15 Sie 2005, 23:55

de_b napisał(a):jestem tu pierwszy raz i nie mam pojęcia o co ci chodzi...z tym logiem z hijacka, napisz prosze jeszcze raz tak by laik zrozumiał

no to napjpierw ściągnij HijackThisa:
http://www.softpedia.com/get/Internet/Popup-Ad-Spyware-Blockers/HijackThis.shtml
następnie uruchamiasz program, dajesz na Do a system scan and save logfile i wklejasz na forum to co masz w notatniku.
Przykład:

Kod: Zaznacz wszystko: Logfile of HijackThis v1.99.1 Scan saved at 23:52:23, on 2005-08-15 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\CTHELPER.EXE C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Winamp\Winampa.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\Gadu-Gadu\gg.exe C:\PROGRA~1\LAVASOFT\AD-AWA~1\Ad-Watch.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\System32\CTsvcCDA.exe C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\DOCUME~1\Marcin\USTAWI~1\Temp\Rar$EX00.492\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = TNC R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray O4 - HKCU\..\Run: [AWMON] "C:\PROGRA~1\LAVASOFT\AD-AWA~1\Ad-Watch.exe" O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123883016426 O17 - HKLM\System\CCS\Services\Tcpip\..\{4010E094-1B5F-478A-B39C-677FFB78025C}: NameServer = 194.204.159.1,194.204.152.34 O17 - HKLM\System\CS1\Services\Tcpip\..\{4010E094-1B5F-478A-B39C-677FFB78025C}: NameServer = 194.204.159.1,194.204.152.34 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

i wsio

PZDR

**Posty:** 4 · przez **de_b** 16 Sie 2005, 00:05

Co moge usunąć z tej listy?

Logfile of HijackThis v1.99.1
Scan saved at 00:04:41, on 2005-08-16
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\MKS\Bin\NetMonSV.exe
C:\Program Files\MKS\Bin\mksmonsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\MKS\Bin\mks_menu.exe
C:\Program Files\MKS\Bin\ABregmon.exe
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\MKS\Bin\mks_scan.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
D:\eMule\emule.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Daria\USTAWI~1\Temp\Rar$EX00.985\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [MKS_MENU] C:\Program Files\MKS\Bin\mks_menu.exe
O4 - HKLM\..\Run: [ABREGMON] C:\Program Files\MKS\Bin\ABregmon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1A781DED-C22D-4153-3213-A3211E29DF13} (GameDesire Card Games) - http://67.15.101.3/g_bin/pl/cards_2_0_0_63.cab
O16 - DPF: {E23FABEE-12E3-33DA-DA12-195DAC123984} (GameDesire Mahjong) - http://67.15.101.3/g_bin/pl/mahjong_2_0_0_18.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{37D3EE35-BADF-448A-B083-A82552F994DA}: NameServer = 69.50.176.198,85.255.112.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{81E462B2-C066-47CE-B7C0-A277B8597AEE}: NameServer = 194.204.152.34 217.98.63.164
O23 - Service: ArcaBit NetMonitor (ABNetMon) - ArcaBit sp. z o.o. - C:\Program Files\MKS\Bin\NetMonSV.exe
O23 - Service: MkSUpdateInt - MkS Sp. z o. o. - C:\Program Files\MKS\bin\MkSUpdateInt.exe
O23 - Service: MkS_Vir Monitor (MksVirMonSvc) - Unknown owner - C:\Program Files\MKS\Bin\mksmonsv.exe
O23 - Service: MkS_Scan - Unknown owner - C:\Program Files\MKS\Bin\mks_scan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

przez **Tom@szek** 16 Sie 2005, 07:10

de_b napisał(a):Gdy klikam Yes otwiera się strona: www.microsoftspywareremoval.com/search.php?q=spyware cleaners
Obojętnie jaki klikam link (a jest tam cała masa: spyware, spywere remover, spyware removal, anti spyware itd.) wyniki są :No Results.

Nie klikaj "YES" - ignoruj cos takiego.

Usuń te wpisy w hijackthis.(Odpal ponownie program - zaznacz te wpisy i daj -> fix checked.)

Kod: Zaznacz wszystko: O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)

Sprawdź te adresy IP. Jesli nie znasz któregoś z nich , też usuń wpis. Ale z tym ostrożnie.

O17 - HKLM\System\CCS\Services\Tcpip\..\{37D3EE35-BADF-448A-B083-A82552F994DA}: NameServer = 69.50.176.198,85.255.112.12

O17 - HKLM\System\CCS\Services\Tcpip\..\{81E462B2-C066-47CE-B7C0-A277B8597AEE}: NameServer = 194.204.152.34 217.98.63.164

**Posty:** 16 · przez **mrozmen** 16 Sie 2005, 11:20

oto opis oznaczeń logów a co do interpretacji to trochę pisania jest:

-----R0, R1, R2, R3 - Strony startowe i wyszukiwarki IE
-----N1, N2, N3, N4 - Strony startowe i wyszukiwarki Mozilli i Netscape'a
-----F0, F1, F2, F3 - Autostart programów z plików WIN.INI i SYSTEM.INI
-----O1 - Przekierowania w pliku HOSTS
-----O2 - BHO czyli Browser Helper Objects
-----O3 - Paski narzędziowe w IE
-----O4 - Autostart programów z kluczy rejestru lub folderu Startup
-----O5 - Ikona Opcji Internetowych NIE widoczna w Panelu sterowania
-----O6 - Opcje Internetowe IE zablokowane przez "Administratora"
-----O7 - Edytor rejestru Regedit zablokowany przez "Administratora"
-----O8 - Dodatkowe opcje w menu prawokliku w IE
-----O9 - Dodatkowe przyciski w głównym pasku narzędziowym lub dodatkowe opcje w menu "Narzędzia" w IE
-----O10 - Integracja szpiegów z łańcuchem Winsock
-----O11 - Dodatkowa grupa w Opcjach Internetowych w zakładce Zaawansowane
-----O12 - Pluginy wpuszczone do IE
-----O13 - Domyślne prefixy IE
-----O14 - 'Reset Web Settings' hijack
-----O15 - Strony www w "Zaufanych Witrynach"
-----O15 - Zmieniona wartość ProtocolsDefaults
-----O16 - Kontrolki ActiveX
-----O17 - Podmiana serwerów DNS na szkodliwe
-----O18 - Extra protokoły i protokoły zmienione przez szpiegów
-----O19 - User style sheet hijack
-----O20 - AppInit_DLLs Windows 2000/XP/2003
-----O20 - Winlogon Notify Windows 2000/XP/2003
-----O21 - ShellServiceObjectDelayLoad
-----O22 - SharedTaskScheduler
-----O23 - Usługi niestandardowe Windows 2000/XP/2003

przez **Tom@szek** 16 Sie 2005, 11:51

mrozmen - a co Twój post wnosi do tematu :?:

mrozmen napisał(a):a co do interpretacji to trochę pisania jest:

Jak jesteś taki bystry to napisz. (tylko nie sciągaj żywcem z tego samego forum co ściągnąłeś opis tych oznaczeń)
A jak juz cytujesz czyjąś wypowiedź to obejmij to w znaczniki [quote] i napisz skąd jest.
Tyle w tym temacie.

hijack-co usunąć z listy?

Hijack-co usunąć z listy?

dzięki za pomoc:)

HijackThis

Kto jest na forum