|
05.12.2005., 15:03 | #1 |
Moderator
Datum registracije: Jan 2005
Lokacija: Rijeka
Postovi: 8,918
|
HijackThis - How To + logovi
Koliko vidim, cesto ljudi postaju svoje logove iz ovog programcica, a bilo bi i vrijeme da svatko nesto nauci o tome. Preuzeo sam dijelove teksta s neke stranice, preveo malo radi lakseg snalazenja i to bi trebalo izgledati nekako ovako odnosno ovako bi trebalo koristiti HijackThis 2.0.2. Bilo bi dobro prije svakog HijackThis scana izvrtiti CWShredder. Programcic uklanja sve klonove cool web search trojana i njegovu mutiranu bracu. Takodjer je dobro provrtiti i BHODemon koji uklanja browser helper objekte. Trenutno radim s jos nekim programcicem koji se pokazao vrlo dobrim. Ako me u skorije vrijeme ne prevari ili lose obavi posao, preporucit cu i njega za rad odnosno uklanjanje spywarea. Dakle, da krenemo. Najbolje je HijackThis pokrenuti u safe modu, makar moze i u normalnom modu, ako racunalo nije nakrcano spywareima te je otezan rad na racunalu. Otvorite Task Manager (CTRL+ALT+DEL). Otvorite karticu s procesima te za svaki od dolje navedenih datoteka, a da se nalaze u HijackThis logu, oznacite proces i ugasite ga. CHKINIT.EXEUkloniti svaku stavku koja se nalazi pod: C:\Documents and Settings\[username]\Local Settings\Temp\neko_ime.EXER0 & R1 Ukloniti svaki koji je povezan s gore spomenutim .exe datotekama.R3: Ukloniti svaki s (no name) ili (no file) ili (file missing) ili (Default URLSearchHook is missing)O1 - Hosts: Ukloniti sve.O2 - BHO: Ukloniti svaki s (no name) ili (no file) ili (file missing) te ukloniti:O3 - Toolbar: Begin2Search.com Bar - {clsid-number} - C:\WINDOWS\SYSTEM\WINB2S32.DLLO4 - HKxx\..\Run [_neki od dolje navedenih_]: ako postoje koji od dolje navedenih .exe datoteka RUNDLL32 AUNPS2.DLL,_Run@16O4 - HKLM\..\RunServices: [Bcvsrv32] bcvsrv32.exeO4 - Global Startup: Reboot.exeO4 - Startup: PowerReg Scheduler V3.exeO9 - Extra button: Ukloniti sve s (file missing)O10: Pod O10 se najcesce javljaju neki hijackeri poputO15 - Trusted Zone: Ukloniti sve bez obzira na ime. Ako niste sigurni za neke, pitajte.O16 - DPF: Takodjer ukloniti sve bez obzira na ime.O17 - HKLM... Ukloniti ako IP adrese nisu od vaseg ISP posluzitelja, dakle, dialeri i druge instance nisu pozeljne.O23 - Service: Popraviti svaki s (file missing)Naravno, nove stvari se pojavljuju dnevno, tako da je tesko sve navesti. Ako niste sigurni za neke i mislite da ih koristite, postajte temu pod ovim podforumom i vec ce vam netko dati odgovor sto ukloniti, a sto ne. Costa, molim ispravi me, ako je sto krivo ili ako ima nesto za nadodati... Update: Takodjer uz cwshredder preporucam koristenje AboutBustera koji uklanja razne varijante cws trojana, jednostavan je za upotrebu i besplatan. Upute za Brute Force Uninstaller i uklanjanje EGDAccessa: - raspakirajte ga u neki direktorij, npr. C:\BFUDOMY: Malo sam editirao post radi lakše preglednosti i updateao linkove.
__________________
___________ HTPC: Intel Core2Duo E8500 × ATI Sapphire HD4670 HDMI × 2x 1GB DDR2 × Samsung 160GB × Lenovo Key+Mouse × Philips 49PFS5501 LED TV × Technics SA-EH780 5.1 × Windows 10 Laptop1: Lenovo x100e w/Windows 10 Zadnje izmijenjeno od: atha. 24.08.2008. u 14:47. |
05.12.2005., 16:52 | #2 |
Moderator
Datum registracije: Aug 2003
Lokacija: Zagreb
Postovi: 3,193
|
Dobro si to slozio. Evo par linkova od mene: Automatska provjera HijackThisovog loga. Potrebno je pasteati ili uploadati log i stisnuti "Analyze". Sve je lijepo objasnjeno, ali se svejedno treba biti oprezan jer ipak je to samo skripta. http://www.hijackthis.de/en Stranice na kojima se moze dobiti informacija o nekom programu preko njegovog naziva. http://www.sysinfo.org/startuplist.php http://www.processlibrary.com/ http://castlecops.com/StartupList.html Stranice na koje se moze uploadati file te on biva skeniran s vise antivirusnih programa. http://www.virustotal.com/ (trenutno koristi 22 antivirusa) http://virusscan.jotti.org/ (trenutno koristi 14 antivirusa)
__________________
|
|
|
Oglas
|
|
24.12.2006., 19:35 | #3 |
Headbangig Grunf!
Datum registracije: Aug 2003
Lokacija: headbanger's ball
Postovi: 4,372
|
Najbolje vam je napraviti slijedeće postat HJT log na hijackthis.de, izbaci mišljenje o tome jel neki proces dobr ili ne, a ako želite kompletni popis svega je izvrstan tool silentrunners-->http://www.silentrunners.org/. E sad pošto silent runners ima jako ali stvarno jako detaljan log, ne vjerujem da bi sve stalo u jedan post je najbolje napraviti sve od loga u txt. formatu i hostat ga tak da se može sve vidjet, a d anema straha da s ekod copy paste procesa nekaj uspjelo zaboraviti. Uz to imate jedan jako koristan forum na netu www.windowsbbs.com, kao i www.bleepingcomputer.com, to su jasno dodaten opcije ukoliko želite imati još jedno dodatno mišljenje uz ovo koje bi dobili ovdje.
__________________
Porsche 6cyl.boxer se hladi zrakom komp se hladi vodom! Chairman of G.M.S. , Heavy Metal Thunder! Former member of PCE 100+kg demolition squad Grunf je moj idol! Moji Grunf type modovi NB:Mini Monster NB,VGA:Ye Monster C!, Ye Monster D!,Abit NB:Abit mini Monster,PSU:Ultra Monster! Alfisti site, Alfisti forum |
01.03.2007., 18:37 | #4 |
EMP moderator
Datum registracije: Apr 2005
Lokacija: Osijek
Postovi: 18,395
|
Evo odlučio malo počistit ovu temu jer se razvukla kao glista... U ovaj post ću staviti samo nepoželjne stavke, ako nekome zatreba... Unosi pored kojih piše (file missing) ili (no file) se mogu brisati bez razmišljanja. Posloženo je po abecedi, gledao sam samo naziv datoteke (podebljano). C:\WINDOWS\System32\atmclk.exe O4 - HKLM\..\Run: [AttuneClientEngine] C:\PROGRA~1\Aveo\Attune\bin\attune_ce.exe O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\WINDOWS\system32\azesearch4.ocx O3 - Toolbar: AZE Search - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINDOWS\system32\azesearch4.ocx O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe C:\WINDOWS\system32\bgsvcgen.exe O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\bfzvb.exe C:\WINDOWS\System32\dcomcfg.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O9 - Extra button: Researcher - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Common Files\Microsoft Shared\Encarta Researcher\EROPROJ.DLL F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe O2 - BHO: Nothing - {f79fd28e-36ee-4989-aa61-9dd8e30a82fa} - C:\WINDOWS\System32\hp100.tmp O2 - BHO: AddressBar Class - {f65b197f-8260-4d52-909a-f70118e646eb} - C:\WINDOWS\system32\iasada.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll C:\Program Files\Common Files\Bentley Shared\IEG\IEGLCS\IEGLicSrv.exe O23 - Service: Bentley License Client (IEGLicSrv) - Bentley Systems Inc. - C:\Program Files\Common Files\Bentley Shared\IEG\IEGLCS\IEGLicSrv.exe c:\progra~1\intern~1\iexplore.exe O2 - BHO: iMeshBar BHO - {5345A7A1-805A-4923-B505-86B2FEBA3FE0} - C:\Program Files\iMeshBar\bar\1.bin\IMESHBAR.DLL O3 - Toolbar: iMeshBar - {5345A7A9-805A-4923-B505-86B2FEBA3FE0} - C:\Program Files\iMeshBar\bar\1.bin\IMESHBAR.DLL O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - C:\Program Files\iMesh\iMesh5\iMeshBHO.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\en-us\msntb.dll C:\WINDOWS\system32\mwsrvacc.exe O20 - Winlogon Notify: IPConfTSP - D:\WINDOWS\system32\n82ulif9182.dll O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe C:\Programme\Network Monitor\netmon.exe O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_38.dll C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe O21 - SSODL: J0DBIEAI - {27756FCF-6C23-64EE-2766-36E42B692DD0} - C:\WINDOWS\System32\Nofffn32.dll O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Program Files\QuickSearch\QuickSearchBar1_27.dll O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Program Files\QuickSearch\QuickSearchBar1_27.dll O4 - HKLM\..\Run: [jxjcjzaduvy] C:\WINDOWS\System32\rbivra.exe C:\Program Files\Save\Save.exe O3 - Toolbar: Crack Find Search - {A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} - C:\WINDOWS\SrchPlug.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll O2 - BHO: (no name) - {72AB6B47-F4DC-2BB3-CEAB-F0E286EDA08D} - C:\DOCUME~1\DRAGAN~1\APPLIC~1\SIXTHD~1\thesave.exe O21 - SSODL: mtklefap - {45C9F337-9238-403C-8FAE-A31EB6B2AEE4} - C:\WINDOWS\System32\vhjadq32.dll C:\WINDOWS\system32\webupdate.exe O20 - Winlogon Notify: winmbj32 - winmbj32.dll R3 - URLSearchHook: AutoSearch Class - {1E432263-6841-4653-8F02-366A2F77E339} - C:\PROGRA~1\WIACA5~1\WinSB1.DLL O2 - BHO: EventHandler Class - {9FB534E3-67CB-4307-AE0A-9E8B5581BE2C} - C:\PROGRA~1\WIACA5~1\WinSB1.DLL O3 - Toolbar: Windows Search Bar - {A1DD937D-71E1-4BB5-BD5D-1B01B9CB1C2F} - C:\PROGRA~1\WIACA5~1\WinSB1.DLL O4 - HKLM\..\Run: [Windows Ndis Driver] WinSys32s.exe O4 - HKLM\..\RunServices: [Windows Ndis Driver] WinSys32s.exe O4 - HKCU\..\Run: [Windows Ndis Driver] WinSys32s.exe O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe O4 - HKLM\..\RunServices: [navp.exe] wupdate.exe O20 - Winlogon Notify: winzdn32 - C:\WINDOWS\SYSTEM32\winzdn32.dll F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe O2 - BHO: C:\WINDOWS\system32\zgCrypt.dll - {8A5849C4-93F3-429D-FF34-660A2068897C} - C:\WINDOWS\system32\zgCrypt.dll
__________________ "Kako su krojači novog svjetskog poretka uspjeli u tako kratko vrijeme slomiti intelektualne sposobnosti društva, uništiti kritičku svijest i ljudima nametnuti izvrnutu logiku?"
Zadnje izmijenjeno od: domy_os. 02.03.2007. u 10:08. |
16.03.2007., 21:56 | #5 | |
galaxy 2 galaxy
Datum registracije: Aug 2006
Lokacija: Zg
Postovi: 74
|
hijack this log Citiraj:
|
|
16.03.2007., 22:25 | #6 |
Premium
Datum registracije: Jan 2006
Lokacija: Zagreb
Postovi: 4,060
|
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch O2 - BHO: (no name) - {1B6C7936-6B20-44C0-8409-7FE3C9FEC501} - (no file) O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file) O2 - BHO: (no name) - {C3178C97-FE42-4A9F-8574-C9BF97524A17} - C:\WINDOWS\system32\mljkkji.dll O2 - BHO: (no name) - {CA904713-251C-4DFA-9DBE-49EB3671682D} - C:\WINDOWS\system32\vtstr.dll O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file) O20 - Winlogon Notify: geeby - C:\WINDOWS\system32\geeby.dll (file missing) O20 - Winlogon Notify: mljkkji - C:\WINDOWS\SYSTEM32\mljkkji.dll O20 - Winlogon Notify: vtstr - C:\WINDOWS\system32\vtstr.dll Ovo prvo što je boldano može biti do VMWare-a ako to nemaš uključeno onda možeš zbrisat. |
17.03.2007., 11:44 | #7 | |
Premium
Datum registracije: Dec 2005
Lokacija: split
Postovi: 198
|
moj log Citiraj:
|