Tema: HijackThis - How To + logovi
View Single Post
Staro 05.12.2005., 15:03   #1
atha
Moderator
Moj komp
 
atha's Avatar
 
Datum registracije: Jan 2005
Lokacija: Rijeka
Postovi: 8,918
Post HijackThis - How To + logovi
Koliko vidim, cesto ljudi postaju svoje logove iz ovog programcica, a bilo bi i vrijeme da svatko nesto nauci o tome.

Preuzeo sam dijelove teksta s neke stranice, preveo malo radi lakseg snalazenja i to bi trebalo izgledati nekako ovako odnosno ovako bi trebalo koristiti HijackThis 2.0.2.

Bilo bi dobro prije svakog HijackThis scana izvrtiti CWShredder. Programcic uklanja sve klonove cool web search trojana i njegovu mutiranu bracu.

Takodjer je dobro provrtiti i BHODemon koji uklanja browser helper objekte.

Trenutno radim s jos nekim programcicem koji se pokazao vrlo dobrim. Ako me u skorije vrijeme ne prevari ili lose obavi posao, preporucit cu i njega za rad odnosno uklanjanje spywarea.

Dakle, da krenemo. Najbolje je HijackThis pokrenuti u safe modu, makar moze i u normalnom modu, ako racunalo nije nakrcano spywareima te je otezan rad na racunalu.

Otvorite Task Manager (CTRL+ALT+DEL). Otvorite karticu s procesima te za svaki od dolje navedenih datoteka, a da se nalaze u HijackThis logu, oznacite proces i ugasite ga.
CHKINIT.EXE
DLLHOST.EXE
NVCTRL.EXE
REGSERV.EXE
DLLSERV.EXE
TMNTSRV32.EXE
RMCTRL.EXE (ne gasiti ako se koristi power dvd.)
RUNDLL.EXE
SMSSU.EXE
MSSEARCHNET.EXE
Ukloniti svaku stavku koja se nalazi pod:
C:\Documents and Settings\[username]\Local Settings\Temp\neko_ime.EXE
R0 & R1
Ukloniti svaki koji je povezan s gore spomenutim .exe datotekama.
Ukloniti svaki koji zavrshava s = about:blank
R3:
Ukloniti svaki s (no name) ili (no file) ili (file missing) ili (Default URLSearchHook is missing)
O1 - Hosts:
Ukloniti sve.
O2 - BHO:
Ukloniti svaki s (no name) ili (no file) ili (file missing) te ukloniti:

C:\WINDOWS\SYSTEM\DSKTRF.DLL
C:\WINDOWS\SYSTEM32\winb2s32.dll
C:\WINDOWS\multimpp.dll
C:\WINDOWS\systb.dll
C:\WINDOWS\cfgmgr52.dll
C:\WINDOWS\xxxx.tmp
C:\WINDOWS\System32\yyyy.tmp
O3 - Toolbar:
Begin2Search.com Bar - {clsid-number} - C:\WINDOWS\SYSTEM\WINB2S32.DLL

odnosno bilo koji toolbar u IE koji ne koristite.
O4 - HKxx\..\Run [_neki od dolje navedenih_]: ako postoje koji od dolje navedenih .exe datoteka
RUNDLL32 AUNPS2.DLL,_Run@16
"C:\Program Files\AutoUpdate\AutoUpdate.exe"
bcvsrv32.exe
RunDLL32.EXE C:\WINDOWS\cfgmgr52.dll,DllRun <<== izbrisati samo cfgmgr52.dll
C:\WINDOWS\conscorr.exe
internat.exe
loadqm.exe
C:\WINNT\mmups.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\MsMovies\MsMovies.exe
C:\Program Files\MsUpdate\MsUpdate.exe
oddtreg.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
updatesp2.exe
C:\WINDOWS\system32\svc.exe
C:\Program Files\TV Media\Tvm.exe
C:\WINDOWS\System32\twink64.exe blabla..
C:\WINDOWS\System32\vidctrl\vidctrl.exe
C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\PROGRA~1\AWS\WEATHE~1\Weather.exe 1
C:\Program Files\Winamp\winampA.exe <-- Spelling!
C:\Program Files\Windows ControlAd\WinCtlAd.exe and/or WinCtlAdALT.EXE
winlog.exe
C:\WINDOWS\winupdate.exe
C:\WINDOWS\winupdates.exe
C:\Program Files\winsupdater\winsupdater.exe
C:\WINDOWS\System32\wintask.exe
C:\Program Files\Common Files\WinTools\WToolsA.exe
..\Web Offer\WO.EXE
..\WildTangent\ANYTHING......
O4 - HKLM\..\RunServices:
[Bcvsrv32] bcvsrv32.exe
[sp2update] updatesp2.exe
[] winlog.exe

AKO IMATE NEKI OD GORE NAVEDENIH, Start > Run > services.msc
pronadjite ga, stop (ako se vrti u pozadini) i postaviti na disabled.
O4 - Global Startup:
Reboot.exe
_bilo koji_.lnk = ?
O4 - Startup:
PowerReg Scheduler V3.exe
O9 - Extra button:
Ukloniti sve s (file missing)

WeatherBug - {clsid-number} - C:\PROGRA~1\AWS\WEATHE~1\Weather.exe (HKCU)
O10:
Pod O10 se najcesce javljaju neki hijackeri poput
New.Net / WebHancer / CommonName

O14 - IERESET.INF:
SEARCH_PAGE_URL= [blank]
START_PAGE_URL= [blank]
O15 - Trusted Zone:
Ukloniti sve bez obzira na ime. Ako niste sigurni za neke, pitajte.
O16 - DPF:
Takodjer ukloniti sve bez obzira na ime.
O17 - HKLM...
Ukloniti ako IP adrese nisu od vaseg ISP posluzitelja, dakle, dialeri i druge instance nisu pozeljne.
O23 - Service:
Popraviti svaki s (file missing)
Naravno, nove stvari se pojavljuju dnevno, tako da je tesko sve navesti. Ako niste sigurni za neke i mislite da ih koristite, postajte temu pod ovim podforumom i vec ce vam netko dati odgovor sto ukloniti, a sto ne.

Costa, molim ispravi me, ako je sto krivo ili ako ima nesto za nadodati...

Update:

Takodjer uz cwshredder preporucam koristenje AboutBustera koji uklanja razne varijante cws trojana, jednostavan je za upotrebu i besplatan.

Upute za Brute Force Uninstaller i uklanjanje EGDAccessa:
- raspakirajte ga u neki direktorij, npr. C:\BFU
- desni klik na http://metallica.geekstogo.com/EGDACCESS.bfu i odaberite
Save As odnosno Save Link As ili Save Target As (ovisno o internet pregledniku)
za download EGDACCESS Remover Toola
- spremite ga u direktorij koji ste malo prije otvorili (C:\BFU)
- pokrenite Brute Force Uninstaller dvoklikom na BFU.exe
- u polju "scriptline to execute" upisite C:\bfu\EGDACCESS.bfu
- klik na execute i neka pocne
- pricekaj da zavrsi i izadjite iz programa
DOMY: Malo sam editirao post radi lakše preglednosti i updateao linkove.
__________________
___________
HTPC: Intel Core2Duo E8500 × ATI Sapphire HD4670 HDMI × 2x 1GB DDR2 × Samsung 160GB ×
Lenovo Key+Mouse × Philips 49PFS5501 LED TV × Technics SA-EH780 5.1 × Windows 10
Laptop1: Lenovo x100e w/Windows 10
Zadnje izmijenjeno od: atha. 24.08.2008. u 14:47.
atha je offline   Reply With Quote