Dodaj do ulubionych

Trojan.Secondthought.Ag

IP: *.internetdsl.tpnet.pl 11.10.04, 11:11
Witam, załapałem takiego trojana na dwóch plikach C:Win.\System32\2ndsrch.dll
i 2ndsrch(2) VIR, antywirus go nie wykrywa, nie wiem co mam z nim zrobić, na
google nic o nim nie ma. Pozdrawima
Obserwuj wątek
    • netsec Re: Trojan.Secondthought.Ag 11.10.04, 11:26
      www.pestpatrol.com/pestinfo/other/2nd_thought.asp
      Dodatkowo ściągnij i zainstaluj Ad-Aware SE Personal Edition v1.05
      Pobieranie najnowszej wersji:
      www.download.com/3000-2144-10045910.html
      Przeskanuj Ad-Aware cały system.
      W celu zapewnienia maksymalnej skuteczności programu,
      należy przed skanowaniem wykonać aktualizacje bazy wykrywania.
      W trakcie uruchamiania skanowania, należy w zakładce
      "Preparing System Scan" wybrać "Perform full system scan".

      Po zakończeniu skanowania pojawi się lista obiektów do usunięcia.
      Każdą z pozycji należy zaznaczyć(haczykiem) a po zaznaczeniu
      wszystkich należy kliknąć Next, zaznaczone obiekty zostaną usunięte.
            • netsec Re: Trojan.Secondthought.Ag 11.10.04, 14:54
              W takim razie przywróć pliki z kwarantanny.
              W główny ekranie Ad-aware "Open quarantine list", wybierasz kolejno pozycje
              które zostały tam dziś przeniesione i prawym klawiszem myszki klikasz "Restore
              Selected".
              Jeśli bedzie to możliwe to wklej log z HiJackThis.
                  • Gość: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 11.10.04, 15:47
                    Oki, że tak zrobię.
                    Wstawiam tego Hijacka


                    Logfile of HijackThis v1.98.2
                    Scan saved at 15:42:36, on 2004-10-11
                    Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
                    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

                    Running processes:
                    C:\WINDOWS\System32\smss.exe
                    C:\WINDOWS\system32\winlogon.exe
                    C:\WINDOWS\system32\services.exe
                    C:\WINDOWS\system32\lsass.exe
                    C:\WINDOWS\system32\svchost.exe
                    C:\WINDOWS\System32\svchost.exe
                    C:\WINDOWS\Explorer.EXE
                    C:\WINDOWS\system32\spoolsv.exe
                    C:\WINDOWS\SOUNDMAN.EXE
                    C:\WINDOWS\System32\igfxtray.exe
                    C:\WINDOWS\System32\hkcmd.exe
                    C:\Program Files\QuickTime\qttask.exe
                    C:\Program Files\DrWeb\DRWEBSCD.EXE
                    C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
                    C:\Program Files\DrWeb\spiderml.exe
                    C:\PROGRA~1\DrWeb\spidernt.exe
                    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
                    C:\Program Files\iTunes\iTunesHelper.exe
                    C:\Program Files\Messenger\msmsgs.exe
                    C:\Program Files\DrWeb\SpiderNT.exe
                    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
                    C:\Program Files\OpenOffice.org1.1.1\program\soffice.exe
                    C:\Program Files\iPod\bin\iPodService.exe
                    C:\WINDOWS\system32\wuauclt.exe
                    C:\Program Files\Internet Explorer\iexplore.exe
                    A:\HijackThis.exe

                    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
                    www.gazeta.pl/0,0.html
                    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
                    www.srch-results.com/quicksearch.asp?keyphrase=
                    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
                    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
                    R3 - URLSearchHook: SearchHook Class - {41B7B291-143E-43A1-9CCF-91655DFDE60F} -
                    C:\WINDOWS\System32\oakum.dll
                    O2 - BHO: VoiceIPObj Class - {00000250-0320-4DD4-BE4F-7566D2314352} -
                    C:\WINDOWS\VoiceIP.dll
                    O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program
                    Files\MyWay\myBar\1.bin\MYBAR.DLL
                    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
                    C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
                    O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} -
                    C:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll
                    O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program
                    Files\MyWay\myBar\1.bin\MYBAR.DLL
                    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
                    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
                    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
                    O4 - HKLM\..\Run: [Reminder for Calendar 1.0] C:\Program Files\Kalendarz 1.0
                    beta\reminder.exe autodetect
                    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
                    atboottime
                    O4 - HKLM\..\Run: [DrWebScheduler] "C:\Program Files\DrWeb\DRWEBSCD.EXE"
                    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04
                    \bin\jusched.exe
                    O4 - HKLM\..\Run: [cbwau] C:\WINDOWS\cbwau.exe
                    O4 - HKLM\..\Run: [srcpp32] C:\WINDOWS\srcpp32.exe
                    O4 - HKLM\..\Run: [SpIDerMail] "C:\Program Files\DrWeb\spiderml.exe"
                    O4 - HKLM\..\Run: [SpIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent
                    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone
                    Labs\ZoneAlarm\zlclient.exe"
                    O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
                    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
                    O4 - Startup: 12Ghosts Clip.lnk = C:\Program Files\12Ghosts\12clip.exe
                    O4 - Startup: 12Ghosts Startup.lnk = C:\Program Files\12Ghosts\12startup.exe
                    O4 - Startup: OpenOffice.org 1.1.1.lnk = C:\Program Files\OpenOffice.org1.1.1
                    \program\quickstart.exe
                    O4 - Startup: PowerReg Scheduler.exe
                    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
                    Office\Office\OSA9.EXE
                    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no
                    file)
                    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
                    00401C608501} - (no file)
                    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
                    C:\Program Files\Messenger\msmsgs.exe
                    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
                    00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
                    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
                    O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) -
                    www.ipix.com/download/ipixx.cab
                    O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) -
                    www.bph.pl/pi/components/SignActivX.cab
                    O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
                    skaner.mks.com.pl/SkanerOnline.cab
                    O17 - HKLM\System\CCS\Services\Tcpip\..\{37E412CC-4A33-4B10-8C6C-516CB61A5BBD}:
                    NameServer = 194.204.159.1
                    O17 - HKLM\System\CS1\Services\Tcpip\..\{37E412CC-4A33-4B10-8C6C-516CB61A5BBD}:
                    NameServer = 194.204.159.1
                    O18 - Protocol: textwareilluminatorbase - {CE5CD329-1650-414A-8DB0-
                    4CBF72FAED87} - C:\WINDOWS\System32\textwareilluminatorbaseProtocol.dll

                    • netsec Re: Trojan.Secondthought.Ag 11.10.04, 17:11
                      Ściągnij CWShredder 1.59.1
                      www.softpedia.com/public/cat/10/17/10-17-150.shtml
                      Sprawdź czy masz włączoną zaporę Internetową we właściwościach Twojego
                      połączenia do Internetu.

                      Wyłącz przywracanie systemu.
                      support.microsoft.com/default.aspx?scid=kb;pl;310405
                      Uruchom komputer w trybie awaryjnym:
                      support.microsoft.com/default.aspx?scid=KB;PL;315222
                      Po uruchomieniu komputera w trybie awaryjnym, nie otwieraj Internet Explorera.

                      Uruchom ponownie HijackTHis wykonaj SCAN i zaznacz te pozycje:

                      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
                      www.srch-results.com/quicksearch.asp?keyphrase=
                      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
                      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
                      R3 - URLSearchHook: SearchHook Class - {41B7B291-143E-43A1-9CCF-91655DFDE60F} -
                      C:\WINDOWS\System32\oakum.dll
                      O2 - BHO: VoiceIPObj Class - {00000250-0320-4DD4-BE4F-7566D2314352} -
                      C:\WINDOWS\VoiceIP.dll
                      O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program
                      Files\MyWay\myBar\1.bin\MYBAR.DLL
                      O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} -
                      C:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll
                      O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program
                      Files\MyWay\myBar\1.bin\MYBAR.DLL
                      O4 - HKLM\..\Run: [cbwau] C:\WINDOWS\cbwau.exe
                      O4 - HKLM\..\Run: [srcpp32] C:\WINDOWS\srcpp32.exe
                      O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
                      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no
                      file)
                      O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
                      00401C608501} - (no file)
                      O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
                      O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) -
                      www.ipix.com/download/ipixx.cab
                      O18 - Protocol: textwareilluminatorbase - {CE5CD329-1650-414A-8DB0-
                      4CBF72FAED87} - C:\WINDOWS\System32\textwareilluminatorbaseProtocol.dll

                      Po zaznaczeniu wymienionych pozycji wykonaj FIX CHECKED i potwierdź TAK/OK.

                      Przejdź do Panelu Sterowania => Dodaj/Usuń programy i odinstaluj
                      wszystkie programy, co do których nie masz pewności, że Ci są potrzebne.

                      Uruchom wcześniej ściągnięty CwShredder i kliknij FIX.
                      Pytania w trakcie działania programu, potwierdzaj TAK/OK.

                      Po zakończeniu działania CWShredder, uruchom komputer w normalnym sposób.

                      Dopisz jeszcze jeden serwer DNS 194.204.152.34 we właściwościach Twojego
                      połączenia do Internetu (Połączenie Lokalne)

                      Ponownie przeskanuj Ad-Aware cały system.

                      Po usunięciu "śmieci" w Ad-aware, uruchom komputer ponownie.

                      Zaktualizuj system o krytyczne poprawki zalecane przez Microsoft
                      www.windowsupdate.com
                        • netsec Re: Trojan.Secondthought.Ag 12.10.04, 10:40
                          > Powiedz mi dlaczego trzeba usunąć, jakieś zbędne programy?

                          Programy które instalują się bez Twojej wiedzy czasami wykorzystując "dziury" w
                          systemie czasami pojawiają się w również w Dodaj/Usuń programy.
                          Część z nich podmienia strony startowe a niektóre zawierają moduły szpiegujące.
                          Generalnie po co Ci programy których nie chciałeś i które mogą szpiegować Twoje
                          działania na komputerze.
                          Nawet te programy które są darmowe mogą szpiegować, trzeba uważnie czytać przed
                          instalacją licencje na ich użytkowanie. Darmo nie zawsze znaczy rzeczywiści
                          darmo, przecież dla nas nasza prywatność jest chyba najcenniejsza .
                          • Gość: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 12.10.04, 11:06
                            Faktycznie, masz rację. Co do tego co wczoraj mi zaleciłeś to zrobiłem to
                            wszystko:
                            "Ściągnij CWShredder 1.59.1
                            www.softpedia.com/public/cat/10/17/10-17-150.shtml
                            Sprawdź czy masz włączoną zaporę Internetową we właściwościach Twojego
                            połączenia do Internetu.

                            Wyłącz przywracanie systemu.
                            support.microsoft.com/default.aspx?scid=kb;pl;310405
                            Uruchom komputer w trybie awaryjnym:
                            support.microsoft.com/default.aspx?scid=KB;PL;315222
                            Po uruchomieniu komputera w trybie awaryjnym, nie otwieraj Internet Explorera.

                            Uruchom ponownie HijackTHis wykonaj SCAN i zaznacz te pozycje:

                            R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
                            www.srch-results.com/quicksearch.asp?keyphrase=
                            R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
                            R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
                            R3 - URLSearchHook: SearchHook Class - {41B7B291-143E-43A1-9CCF-91655DFDE60F} -
                            C:\WINDOWS\System32\oakum.dll
                            O2 - BHO: VoiceIPObj Class - {00000250-0320-4DD4-BE4F-7566D2314352} -
                            C:\WINDOWS\VoiceIP.dll
                            O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program
                            Files\MyWay\myBar\1.bin\MYBAR.DLL
                            O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} -
                            C:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll
                            O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program
                            Files\MyWay\myBar\1.bin\MYBAR.DLL
                            O4 - HKLM\..\Run: [cbwau] C:\WINDOWS\cbwau.exe
                            O4 - HKLM\..\Run: [srcpp32] C:\WINDOWS\srcpp32.exe
                            O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
                            O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no
                            file)
                            O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
                            00401C608501} - (no file)
                            O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
                            O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) -
                            www.ipix.com/download/ipixx.cab
                            O18 - Protocol: textwareilluminatorbase - {CE5CD329-1650-414A-8DB0-
                            4CBF72FAED87} - C:\WINDOWS\System32\textwareilluminatorbaseProtocol.dll

                            Po zaznaczeniu wymienionych pozycji wykonaj FIX CHECKED i potwierdź TAK/OK.

                            Przejdź do Panelu Sterowania => Dodaj/Usuń programy i odinstaluj
                            wszystkie programy, co do których nie masz pewności, że Ci są potrzebne.

                            Uruchom wcześniej ściągnięty CwShredder i kliknij FIX.
                            Pytania w trakcie działania programu, potwierdzaj TAK/OK.

                            Po zakończeniu działania CWShredder, uruchom komputer w normalnym sposób.

                            Dopisz jeszcze jeden serwer DNS 194.204.152.34 we właściwościach Twojego
                            połączenia do Internetu (Połączenie Lokalne)"

                            - do tąd, potem chciałem zeskanować Ad-awarem, ale przy próbie wyskakuje mi
                            komunikat "Zamykanie systemu" zarządzenie NT\System
                              • Gość: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 12.10.04, 11:40
                                Logfile of HijackThis v1.98.2
                                Scan saved at 11:37:50, on 2004-10-12
                                Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
                                MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

                                Running processes:
                                C:\WINDOWS\System32\smss.exe
                                C:\WINDOWS\system32\winlogon.exe
                                C:\WINDOWS\system32\services.exe
                                C:\WINDOWS\system32\lsass.exe
                                C:\WINDOWS\system32\svchost.exe
                                C:\WINDOWS\System32\svchost.exe
                                C:\WINDOWS\Explorer.EXE
                                C:\WINDOWS\system32\spoolsv.exe
                                C:\WINDOWS\SOUNDMAN.EXE
                                C:\WINDOWS\System32\igfxtray.exe
                                C:\WINDOWS\System32\hkcmd.exe
                                C:\Program Files\QuickTime\qttask.exe
                                C:\Program Files\DrWeb\DRWEBSCD.EXE
                                C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
                                C:\Program Files\DrWeb\spiderml.exe
                                C:\PROGRA~1\DrWeb\spidernt.exe
                                C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
                                C:\Program Files\Messenger\msmsgs.exe
                                C:\Program Files\DrWeb\SpiderNT.exe
                                C:\WINDOWS\system32\ZoneLabs\vsmon.exe
                                C:\Program Files\OpenOffice.org1.1.1\program\soffice.exe
                                C:\Documents and Settings\Małgorzata\Pulpit\HijackThis.exe

                                R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
                                www.gazeta.pl/0,0.html
                                O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
                                C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
                                O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
                                O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
                                O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
                                O4 - HKLM\..\Run: [Reminder for Calendar 1.0] C:\Program Files\Kalendarz 1.0
                                beta\reminder.exe autodetect
                                O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
                                atboottime
                                O4 - HKLM\..\Run: [DrWebScheduler] "C:\Program Files\DrWeb\DRWEBSCD.EXE"
                                O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04
                                \bin\jusched.exe
                                O4 - HKLM\..\Run: [SpIDerMail] "C:\Program Files\DrWeb\spiderml.exe"
                                O4 - HKLM\..\Run: [SpIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent
                                O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone
                                Labs\ZoneAlarm\zlclient.exe"
                                O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
                                O4 - Startup: 12Ghosts Clip.lnk = C:\Program Files\12Ghosts\12clip.exe
                                O4 - Startup: 12Ghosts Startup.lnk = C:\Program Files\12Ghosts\12startup.exe
                                O4 - Startup: OpenOffice.org 1.1.1.lnk = C:\Program Files\OpenOffice.org1.1.1
                                \program\quickstart.exe
                                O4 - Startup: PowerReg Scheduler.exe
                                O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
                                Office\Office\OSA9.EXE
                                O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
                                C:\Program Files\Messenger\msmsgs.exe
                                O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
                                00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
                                O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) -
                                www.bph.pl/pi/components/SignActivX.cab
                                O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
                                skaner.mks.com.pl/SkanerOnline.cab
                                O17 - HKLM\System\CCS\Services\Tcpip\..\{37E412CC-4A33-4B10-8C6C-516CB61A5BBD}:
                                NameServer = 194.204.159.1,194.204.152.34
                                O17 - HKLM\System\CS1\Services\Tcpip\..\{37E412CC-4A33-4B10-8C6C-516CB61A5BBD}:
                                NameServer = 194.204.159.1,194.204.152.34

                                • netsec Re: Trojan.Secondthought.Ag 12.10.04, 12:40
                                  W tym logu wszystko wyglada ok.
                                  Uruchom ponownie HiJackThis przejdź do Config później do Misc Tools i kliknij
                                  Generate StartupList log.
                                  Program zapyta czy wygenerować listę, potwierdź a zawartość listy wklej na forum.
                                  • Gość: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 12.10.04, 13:25
                                    Proszę bardzo.

                                    StartupList report, 2004-10-12, 13:23:28
                                    StartupList version: 1.52.2
                                    Started from : C:\Documents and Settings\Małgorzata\Pulpit\HijackThis.EXE
                                    Detected: Windows XP Dodatek SP2 (WinNT 5.01.2600)
                                    Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
                                    * Using default options
                                    ==================================================

                                    Running processes:

                                    C:\WINDOWS\System32\smss.exe
                                    C:\WINDOWS\system32\winlogon.exe
                                    C:\WINDOWS\system32\services.exe
                                    C:\WINDOWS\system32\lsass.exe
                                    C:\WINDOWS\system32\svchost.exe
                                    C:\WINDOWS\System32\svchost.exe
                                    C:\WINDOWS\Explorer.EXE
                                    C:\WINDOWS\system32\spoolsv.exe
                                    C:\WINDOWS\SOUNDMAN.EXE
                                    C:\WINDOWS\System32\igfxtray.exe
                                    C:\WINDOWS\System32\hkcmd.exe
                                    C:\Program Files\QuickTime\qttask.exe
                                    C:\Program Files\DrWeb\DRWEBSCD.EXE
                                    C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
                                    C:\Program Files\DrWeb\spiderml.exe
                                    C:\PROGRA~1\DrWeb\spidernt.exe
                                    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
                                    C:\Program Files\Messenger\msmsgs.exe
                                    C:\Program Files\DrWeb\SpiderNT.exe
                                    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
                                    C:\Program Files\OpenOffice.org1.1.1\program\soffice.exe
                                    C:\Documents and Settings\Małgorzata\Pulpit\HijackThis.exe

                                    --------------------------------------------------

                                    Listing of startup folders:

                                    Shell folders Startup:
                                    [C:\Documents and Settings\Małgorzata\Menu Start\Programy\Autostart]
                                    12Ghosts Clip.lnk = C:\Program Files\12Ghosts\12clip.exe
                                    12Ghosts Startup.lnk = C:\Program Files\12Ghosts\12startup.exe
                                    OpenOffice.org 1.1.1.lnk = C:\Program Files\OpenOffice.org1.1.1
                                    \program\quickstart.exe
                                    PowerReg Scheduler.exe

                                    Shell folders Common Startup:
                                    [C:\Documents and Settings\All Users\Menu Start\Programy\Autostart]
                                    Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

                                    --------------------------------------------------

                                    Checking Windows NT UserInit:

                                    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
                                    UserInit = C:\WINDOWS\system32\userinit.exe,

                                    --------------------------------------------------

                                    Autorun entries from Registry:
                                    HKLM\Software\Microsoft\Windows\CurrentVersion\Run

                                    SoundMan = SOUNDMAN.EXE
                                    IgfxTray = C:\WINDOWS\System32\igfxtray.exe
                                    HotKeysCmds = C:\WINDOWS\System32\hkcmd.exe
                                    Reminder for Calendar 1.0 = C:\Program Files\Kalendarz 1.0 beta\reminder.exe
                                    autodetect
                                    QuickTime Task = "C:\Program Files\QuickTime\qttask.exe" -atboottime
                                    DrWebScheduler = "C:\Program Files\DrWeb\DRWEBSCD.EXE"
                                    SunJavaUpdateSched = C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
                                    SpIDerMail = "C:\Program Files\DrWeb\spiderml.exe"
                                    SpIDerNT = C:\PROGRA~1\DrWeb\spidernt.exe /agent
                                    Zone Labs Client = "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

                                    --------------------------------------------------

                                    Autorun entries from Registry:
                                    HKCU\Software\Microsoft\Windows\CurrentVersion\Run

                                    MSMSGS = "C:\Program Files\Messenger\msmsgs.exe" /background

                                    --------------------------------------------------

                                    Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

                                    Shell=*INI section not found*
                                    SCRNSAVE.EXE=*INI section not found*
                                    drivers=*INI section not found*

                                    Shell & screensaver key from Registry:

                                    Shell=Explorer.exe
                                    SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr
                                    drivers=*Registry value not found*

                                    Policies Shell key:

                                    HKCU\..\Policies: Shell=*Registry key not found*
                                    HKLM\..\Policies: Shell=*Registry value not found*

                                    --------------------------------------------------


                                    Enumerating Browser Helper Objects:

                                    (no name) - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx -
                                    {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

                                    --------------------------------------------------

                                    Enumerating Task Scheduler jobs:

                                    Oczyszczanie dysku.job

                                    --------------------------------------------------

                                    Enumerating Download Program Files:

                                    [QuickTime Object]
                                    InProcServer32 = C:\Program Files\QuickTime\QTPlugin.ocx
                                    CODEBASE = www.apple.com/qtactivex/qtplugin.cab

                                    [MSSecurityAdvisor Class]
                                    InProcServer32 = C:\WINDOWS\System32\mssecadv.dll
                                    CODEBASE = download.microsoft.com/download/0/5/c/05c905f4-dd30-427d-a3de-
                                    373c3e5552fc/msSecAdv.cab?1094199547156

                                    [SignActivX Control]
                                    InProcServer32 = C:\WINDOWS\DOWNLO~1\SIGNAC~1.OCX
                                    CODEBASE = www.bph.pl/pi/components/SignActivX.cab

                                    [Shockwave Flash Object]
                                    InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx
                                    CODEBASE = download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

                                    [MainControl Class]
                                    InProcServer32 = C:\WINDOWS\System32\SkanerOnline.dll
                                    CODEBASE = skaner.mks.com.pl/SkanerOnline.cab

                                    --------------------------------------------------

                                    Enumerating Winsock LSP files:

                                    Protocol #16: C:\WINDOWS\system32\DRWEBSP.DLL
                                    Protocol #17: C:\WINDOWS\system32\DRWEBSP.DLL
                                    Protocol #18: C:\WINDOWS\system32\DRWEBSP.DLL
                                    Protocol #19: C:\WINDOWS\system32\DRWEBSP.DLL

                                    --------------------------------------------------

                                    Enumerating ShellServiceObjectDelayLoad items:

                                    PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
                                    CDBurn: C:\WINDOWS\system32\SHELL32.dll
                                    WebCheck: C:\WINDOWS\System32\webcheck.dll
                                    SysTray: C:\WINDOWS\System32\stobject.dll

                                    --------------------------------------------------
                                    End of report, 5 886 bytes
                                    Report generated in 0,485 seconds

                                    Command line options:
                                    /verbose - to add additional info on each section
                                    /complete - to include empty sections and unsuspicious data
                                    /full - to include several rarely-important sections
                                    /force9x - to include Win9x-only startups even if running on WinNT
                                    /forcent - to include WinNT-only startups even if running on Win9x
                                    /forceall - to include all Win9x and WinNT startups, regardless of platform
                                    /history - to list version history only
Inne wątki na temat:

Popularne wątki

Nie pamiętasz hasła

lub ?

 

Nie masz jeszcze konta? Zarejestruj się

Nakarm Pajacyka