jak HijackThis-em usunąć komunikat

[fugas761]

wintfj32 jest na dysku C, i nie zostal usuniety ,pisze ze jest wykorzystywany przez system lub inna osobe, ale wyglada to ta C:/!KillBox

[pp3088]

hmm a w awarjnym nie idzie skasowac? Wklej logi aktualne.

[fugas761]

Logfile of HijackThis v1.99.1
Scan saved at 22:29:54, on 2006-10-20
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSSystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSExplorer.EXE
C:Program FilesCommon FilesMicrosoft SharedVS7DEBUGMDM.EXE
C:Program FilesEset
od32krn.exe
C:Program FilesATI TechnologiesATI.ACEcli.exe
C:WINDOWSsystem32RunDll32.exe
C:Program FilesEset
od32kui.exe
C:Program FilesMultimedia Combo SetMouseDrv.exe
C:Program FilesMultimedia Combo SetPS2USBKbdDrv.exe
C:WINDOWSsystem32HBO ScreenSaver.exe
C:Program FilesQuickTimeqttask.exe
C:Program FilesAresAres.exe
C:Program FilesAdobeAcrobat 7.0Reader eader_sl.exe
C:Program FilesBright Bug SoftwareSharedScreen SaversBBDTMngr.exe
C:WINDOWSsystem32wscntfy.exe
C:Program FilesATI TechnologiesATI.ACEcli.exe
C:Program FilesATI TechnologiesATI.ACEcli.exe
C:Program FilesEset
od32.exe
C:Program FilesOutlook Expressmsimn.exe
C:Program FilesInternet Exploreriexplore.exe
C:Documents and SettingsTomekPulpithijackthisHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:Program FilesYahoo!CompanionInstallscpnyt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:Program FilesYahoo!CompanionInstallscpnyt.dll
O3 - Toolbar: (no name) - {C004DEC2-2623-438e-9CA2-C9043AB28508} - (no file)
O4 - HKLM..Run: [ATICCC] "C:Program FilesATI TechnologiesATI.ACEcli.exe" runtime -Delay
O4 - HKLM..Run: [Skrót do strony właściwości High Definition Audio] HDAShCut.exe
O4 - HKLM..Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM..Run: [nod32kui] "C:Program FilesEset
od32kui.exe" /WAITSERVICE
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [WireLessMouse ] C:Program FilesMultimedia Combo SetMouseDrv.exe
O4 - HKLM..Run: [WireLessKeyboard ] C:Program FilesMultimedia Combo SetPS2USBKbdDrv.exe
O4 - HKLM..Run: [HBOScreensaver] "C:WINDOWSsystem32HBO ScreenSaver.exe" /sch
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [BearFlix] "C:Program FilesBearFlixBearFlix.exe" /pause
O4 - HKLM..Run: [PVModule] C:PROGRA~1PRINTV~1pvmodule.exe
O4 - HKCU..Run: [ares] "C:Program FilesAresAres.exe" -h
O4 - HKCU..Run: [Dzieńdobry!] C:Documents and SettingsTomekMoje dokumentyDzieńdobry!dziendobry.exe /auto
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:Program FilesAdobeAcrobat 7.0Reader eader_sl.exe
O4 - Global Startup: Run BBDTMngr.exe.lnk = C:Program FilesBright Bug SoftwareSharedScreen SaversBBDTMngr.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O16 - DPF: {1A781DED-C22D-4153-3213-A3211E29DF13} (GameDesire Card Games) - http://67.15.101.3/g_bin/pl/cards_2_0_0_71.cab
O16 - DPF: {41ACD49D-1974-791A-0981-AA9872721044} (Ganymede Board Games) - http://67.15.101.3/g_bin/pl/boards_2_0_0_30.cab
O16 - DPF: {4539348E-01D7-11D5-9A39-0080C8D85044} (GameDesire Slots 90th) - http://67.15.101.3/g_bin/pl/slots90_2_0_0_30.cab
O16 - DPF: {4B4513E2-4E57-43DF-9496-FCD37E9DFA64} (GameDesire Sea Battle) - http://67.15.101.3/g_bin/pl/navy_2_0_0_23.cab
O16 - DPF: {A6212120-01D4-11D5-9A39-0080C8D85044} (GameDesire Slots 70th) - http://67.15.101.3/g_bin/pl/slots70_2_0_0_30.cab
O16 - DPF: {A93B47FD-9BF6-4DA8-97FC-9270B9D64A6C} (VaPgCtrl Class) - http://83.18.237.172/plugin/h263ctrl.cab
O16 - DPF: {BFA1F11D-3121-AFE1-4112-894323212DAC} (GameDesire Word Games) - http://67.15.101.3/g_bin/pl/words_2_0_0_46.cab
O16 - DPF: {ECEAD8AE-01D6-11D5-9A39-0080C8D85044} (GameDesire Slots 80th) - http://67.15.101.3/g_bin/pl/slots80_2_0_0_30.cab
O20 - Winlogon Notify: wintfj32 - wintfj32.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:WINDOWSSystem32Ati2evxx.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:Program FilesEset
od32krn.exe

[pp3088]

Kod: Zaznacz wszystko

O3 - Toolbar: (no name) - {C004DEC2-2623-438e-9CA2-C9043AB28508} - (no file)
O4 - HKLM..Run: [PVModule] C:PROGRA~1PRINTV~1pvmodule.exe
O16 - DPF: {A93B47FD-9BF6-4DA8-97FC-9270B9D64A6C} (VaPgCtrl Class) - http://83.18.237.172/plugin/h263ctrl.cab
O20 - Winlogon Notify: wintfj32 - wintfj32.dll (file missing)

Skasuj te wpisy. Sukces wintfj32.dll jest usunięty, przynjajmniej tak wskazuje HiJack i skasuj folder Killbox, on robi tylko kopie na wypadek zczeczenia czegoś dobrego.

[fugas761]

Usunolem plik z KillBox i przesylam Ci Log

[fugas761]

Kod: Zaznacz wszystko

Logfile of HijackThis v1.99.1
Scan saved at 22:56:59, on 2006-10-20
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSSystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSExplorer.EXE
C:Program FilesCommon FilesMicrosoft SharedVS7DEBUGMDM.EXE
C:Program FilesEset
od32krn.exe
C:Program FilesATI TechnologiesATI.ACEcli.exe
C:WINDOWSsystem32RunDll32.exe
C:Program FilesEset
od32kui.exe
C:Program FilesMultimedia Combo SetMouseDrv.exe
C:Program FilesMultimedia Combo SetPS2USBKbdDrv.exe
C:WINDOWSsystem32HBO ScreenSaver.exe
C:Program FilesQuickTimeqttask.exe
C:Program FilesAresAres.exe
C:Program FilesBright Bug SoftwareSharedScreen SaversBBDTMngr.exe
C:WINDOWSsystem32wscntfy.exe
C:Program FilesATI TechnologiesATI.ACEcli.exe
C:Program FilesATI TechnologiesATI.ACEcli.exe
C:Program FilesEset
od32.exe
C:Program FilesInternet Exploreriexplore.exe
C:Documents and SettingsTomekPulpithijackthisHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.onet.pl/
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:Program FilesYahoo!CompanionInstallscpnyt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:Program FilesYahoo!CompanionInstallscpnyt.dll
O4 - HKLM..Run: [ATICCC] "C:Program FilesATI TechnologiesATI.ACEcli.exe" runtime -Delay
O4 - HKLM..Run: [Skrót do strony właściwości High Definition Audio] HDAShCut.exe
O4 - HKLM..Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM..Run: [nod32kui] "C:Program FilesEset
od32kui.exe" /WAITSERVICE
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [WireLessMouse ] C:Program FilesMultimedia Combo SetMouseDrv.exe
O4 - HKLM..Run: [WireLessKeyboard ] C:Program FilesMultimedia Combo SetPS2USBKbdDrv.exe
O4 - HKLM..Run: [HBOScreensaver] "C:WINDOWSsystem32HBO ScreenSaver.exe" /sch
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [BearFlix] "C:Program FilesBearFlixBearFlix.exe" /pause
O4 - HKCU..Run: [ares] "C:Program FilesAresAres.exe" -h
O4 - HKCU..Run: [Dzieńdobry!] C:Documents and SettingsTomekMoje dokumentyDzieńdobry!dziendobry.exe /auto
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:Program FilesAdobeAcrobat 7.0Reader
eader_sl.exe
O4 - Global Startup: Run BBDTMngr.exe.lnk = C:Program FilesBright Bug SoftwareSharedScreen SaversBBDTMngr.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O16 - DPF: {1A781DED-C22D-4153-3213-A3211E29DF13} (GameDesire Card Games) - http://67.15.101.3/g_bin/pl/cards_2_0_0_71.cab
O16 - DPF: {41ACD49D-1974-791A-0981-AA9872721044} (Ganymede Board Games) - http://67.15.101.3/g_bin/pl/boards_2_0_0_30.cab
O16 - DPF: {4539348E-01D7-11D5-9A39-0080C8D85044} (GameDesire Slots 90th) - http://67.15.101.3/g_bin/pl/slots90_2_0_0_30.cab
O16 - DPF: {4B4513E2-4E57-43DF-9496-FCD37E9DFA64} (GameDesire Sea Battle) - http://67.15.101.3/g_bin/pl/navy_2_0_0_23.cab
O16 - DPF: {A6212120-01D4-11D5-9A39-0080C8D85044} (GameDesire Slots 70th) - http://67.15.101.3/g_bin/pl/slots70_2_0_0_30.cab
O16 - DPF: {BFA1F11D-3121-AFE1-4112-894323212DAC} (GameDesire Word Games) - http://67.15.101.3/g_bin/pl/words_2_0_0_46.cab
O16 - DPF: {ECEAD8AE-01D6-11D5-9A39-0080C8D85044} (GameDesire Slots 80th) - http://67.15.101.3/g_bin/pl/slots80_2_0_0_30.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:WINDOWSSystem32Ati2evxx.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:Program FilesEset
od32krn.exe

[pp3088]

No i jest git. Wszystko cacy. A teraz trochę poprawek kosmetycznych


start>>uruchom>>msconfig>>uruchamianie odznacz wpisy:

Skrót do strony właściwości High Definition Audio
NeroFilterCheck
HBOScreensaver
QuickTime Task

[fugas761]

na razie wszystko gra ale NOD32 wykryl na dysku C inne trojany typu agent... i to z 10 sztuk a ja mam program po angielsku i co ja mam zrobic po skanowaniu . Pokazuje ze na dysku C /system volume informacion a ja nie moge tego pliku znalezsc . Pomozesz mi?

[pp3088]

Spoko

Wyłączenia System Restore należy dokonać z interfejsu użytkownika (NIE w rejestrze!!!):

Control Panel (Panel sterowania) >>> System >>> System Restore (Przywracanie systemu)

Tam zaznacz opcję Turn off System Restore lub Turn off System Restore on all drives (Wyłącz przywracanie na wszystkich dyskach). Zatwierdzasz wszystkie zmiany.

Podaj ścieżki dostepu do tych niby zasyfionych plików.

[fugas761]

a czy to spowoduje usuniecie programow z dysku? , ---Sciezki tak za okolo 50 minut Ci wysle tylko zrobie jeszcze raz skan.

[pp3088]

Nie spowoduje to, zę nie będą odpalać się razem z każym włączeniem systemu.

[fugas761]

Przepraszam, ale nie rozumie tego,to ze niekiedy nie beda dzialac czy co?

[pp3088]

Chodzi o to, że jak odplasz komputer to niektóe programy same się odpalają tak jak gg, czy ares. Jak je tam wyłączysz to nei będą tak robić. Bo chyba nie potrzebujesz aby za każdym razem włączł ci się sprawdzacz oryginalności Nero czy Menager Quick Time, kóry nie samowicie ścierwi kompa.

[fugas761]

C:WINDOWSsystem32ishost.Vexe - Win32/TrojanDownloader.Zlob.AFO trojan
C:WINDOWSsystem32ѕуmbols racert.Vexe - a variant of Win32/TrojanDownloader.PurityScan trojan - dzisiaj znalazl tylko to

[pp3088]

C:WINDOWSsystem32ishost.Vexe - Win32/TrojanDownloader.Zlob.AFO trojan
C:WINDOWSsystem32ѕуmbols racert.Vexe - a variant of Win32/TrojanDownloader.PurityScan trojan - dzisiaj znalazl tylko to

Tego pierwszeo już skasował SmitFraud. To drugie z pewnością nie jest Purity Scaem to nie ta ranga, Purity jest ze znakami "?". Myślę, że fałszywy alarm.