jak HijackThis-em usunąć komunikat

przez **gamafino** » 17 Paź 2006, 18:43

witam,mam komunikat że padłem ofiarą fałszowania oprogramowania,podobno można tym programem wywalić (WgaTraya),bardzo prosze o jakis opis jak mam to zrobić

przez **LucaS** » 17 Paź 2006, 20:12

daj loga z hijacka ...

przez **pp3088** » 17 Paź 2006, 21:22

Musisz za pomocą Hijacka usunąć wpis 020:Winlogon notify: WgaLogon C:/windows/system32/wgalogon

i skasować plik WgaTray.exxe(ikonka gwaizdki) z C:/windows/system32

przez **gamafino** » 18 Paź 2006, 09:37

czyli kliknąć na "Do a systemscan..." zahaczyć wpis 020 i co kliknąć dalej?, sorki ale słabo jarze po angielsku i niechcę narobić badziewia :oops:

przez **jonny** » 18 Paź 2006, 10:35

Zaznaczyć to co wskazał Ci pp3088 i klik na FIX.

przez **gamafino** » 18 Paź 2006, 20:37

ooo dzięki dobrzy ludzie,już nic się nie pokazuje,ale w panelu sterowania / dodaj usuń/ dalej tkwi aktualizacja(windows genuine adrantage notifications kb905474 czy to też idzie usunąć?

przez **pp3088** » 18 Paź 2006, 21:06

Usuń jak przeszkadza.

przez **fugas761** » 19 Paź 2006, 22:01

Ja tez mam problem ,czy moge dac loga z hijacka ...?

przez **pp3088** » 19 Paź 2006, 22:15

Z przyjemnością go sprawdzę i pomogę w rozwiązaniu problemu.

Pozdrawiam

przez **fugas761** » 19 Paź 2006, 22:20

Logfile of HijackThis v1.99.1
Scan saved at 22:03:56, on 2006-10-19
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSSystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesCommon FilesMicrosoft SharedVS7DEBUGMDM.EXE
C:Program FilesEset
od32krn.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSExplorer.EXE
C:Program FilesATI TechnologiesATI.ACEcli.exe
C:WINDOWSsystem32RunDll32.exe
C:Program FilesEset
od32kui.exe
C:Program FilesMultimedia Combo SetMouseDrv.exe
C:Program FilesMultimedia Combo SetPS2USBKbdDrv.exe
C:WINDOWSsystem32HBO ScreenSaver.exe
C:Program FilesQuickTimeqttask.exe
C:Program Filesipwinsipwins.exe
C:Program FilesCommon Files{ACFCEBC0-0A6B-1045-0804-040406090030}Update.exe
C:Program FilesAresAres.exe
C:Program FilesBright Bug SoftwareSharedScreen SaversBBDTMngr.exe
C:WINDOWSsystem32wscntfy.exe
C:Program FilesATI TechnologiesATI.ACEcli.exe
C:Program FilesATI TechnologiesATI.ACEcli.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesEset
od32.exe
C:WINDOWSsystem32NOTEPAD.EXE
C:Documents and SettingsTomekPulpithijackthisHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://google.bearshare.com/pl/
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:Program FilesYahoo!CompanionInstallscpnyt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:Program FilesMyGlobalSearchar1.binMGSBAR.DLL
O2 - BHO: ToolBar888 - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:Program FilesCommon Files{3CFCEBC0-0A6B-1045-0804-040406090030}MyToolBar.dll
O2 - BHO: PrintViewBHO Class - {D4E0C464-30CE-4075-9A10-71FD106C2847} - C:PROGRA~1PRINTV~1PRINTH~1.DLL
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:Program FilesYahoo!CompanionInstallscpnyt.dll
O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:Program FilesMyGlobalSearchar1.binMGSBAR.DLL
O3 - Toolbar: ToolBar888 - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:Program FilesCommon Files{3CFCEBC0-0A6B-1045-0804-040406090030}MyToolBar.dll
O4 - HKLM..Run: [ATICCC] "C:Program FilesATI TechnologiesATI.ACEcli.exe" runtime -Delay
O4 - HKLM..Run: [Skrót do strony właściwości High Definition Audio] HDAShCut.exe
O4 - HKLM..Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM..Run: [nod32kui] "C:Program FilesEset
od32kui.exe" /WAITSERVICE
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [WireLessMouse ] C:Program FilesMultimedia Combo SetMouseDrv.exe
O4 - HKLM..Run: [WireLessKeyboard ] C:Program FilesMultimedia Combo SetPS2USBKbdDrv.exe
O4 - HKLM..Run: [HBOScreensaver] "C:WINDOWSsystem32HBO ScreenSaver.exe" /sch
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [BearFlix] "C:Program FilesBearFlixBearFlix.exe" /pause
O4 - HKLM..Run: [IpWins] C:Program Filesipwinsipwins.exe
O4 - HKLM..Run: [PVModule] C:PROGRA~1PRINTV~1pvmodule.exe
O4 - HKCU..Run: [ares] "C:Program FilesAresAres.exe" -h
O4 - HKCU..Run: [Dzieńdobry!] C:Documents and SettingsTomekMoje dokumentyDzieńdobry!dziendobry.exe /auto
O4 - HKCU..Run: [Etop] "C:WINDOWSsystem32MBOLS~1 racert.exe" -vt yazb
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:Program FilesAdobeAcrobat 7.0Reader eader_sl.exe
O4 - Global Startup: Run BBDTMngr.exe.lnk = C:Program FilesBright Bug SoftwareSharedScreen SaversBBDTMngr.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O16 - DPF: {1A781DED-C22D-4153-3213-A3211E29DF13} (GameDesire Card Games) - http://67.15.101.3/g_bin/pl/cards_2_0_0_71.cab
O16 - DPF: {41ACD49D-1974-791A-0981-AA9872721044} (Ganymede Board Games) - http://67.15.101.3/g_bin/pl/boards_2_0_0_30.cab
O16 - DPF: {4539348E-01D7-11D5-9A39-0080C8D85044} (GameDesire Slots 90th) - http://67.15.101.3/g_bin/pl/slots90_2_0_0_30.cab
O16 - DPF: {4B4513E2-4E57-43DF-9496-FCD37E9DFA64} (GameDesire Sea Battle) - http://67.15.101.3/g_bin/pl/navy_2_0_0_23.cab
O16 - DPF: {A6212120-01D4-11D5-9A39-0080C8D85044} (GameDesire Slots 70th) - http://67.15.101.3/g_bin/pl/slots70_2_0_0_30.cab
O16 - DPF: {A93B47FD-9BF6-4DA8-97FC-9270B9D64A6C} (VaPgCtrl Class) - http://83.18.237.172/plugin/h263ctrl.cab
O16 - DPF: {BFA1F11D-3121-AFE1-4112-894323212DAC} (GameDesire Word Games) - http://67.15.101.3/g_bin/pl/words_2_0_0_46.cab
O16 - DPF: {ECEAD8AE-01D6-11D5-9A39-0080C8D85044} (GameDesire Slots 80th) - http://67.15.101.3/g_bin/pl/slots80_2_0_0_30.cab
O20 - Winlogon Notify: wintfj32 - C:WINDOWSSYSTEM32wintfj32.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:WINDOWSSystem32Ati2evxx.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:Program FilesEset
od32krn.exe

przez **pp3088** » 19 Paź 2006, 22:57

No dobra dawno nie widziałem takiej maskary

C:Program FilesBright Bug SoftwareSharedScreen SaversBBDTMngr.exe

Znasz to?

Kod: Zaznacz wszystko: O16 - DPF: {A93B47FD-9BF6-4DA8-97FC-9270B9D64A6C} (VaPgCtrl Class) - http://83.18.237.172/plugin/h263ctrl.cab O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:Program FilesMyGlobalSearchar1.binMGSBAR.DLL O2 - BHO: ToolBar888 - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:Program FilesCommon Files{3CFCEBC0-0A6B-1045-0804-040406090030}MyToolBar.dll O2 - BHO: PrintViewBHO Class - {D4E0C464-30CE-4075-9A10-71FD106C2847} - C:PROGRA~1[b]NTV~1PRINTH[/b] O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:Program Files][b]GobalSearchar1[/b]MGSBAR.DLL O3 - Toolbar: ToolBar888 - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:Program FilesCommon Files[b]{3CFCEBC0-0A6B-1045-0804-040406090030}[/b]MyToolBar.dll

Zaznacz wpisy w HiJacku i daj przycisk na dole fix checked. Skasuj pliki pogrubione ręcznie=do kosza.

O4 - HKCU..Run: [Etop] "C:WINDOWSsystem32BOLS~1 racert.exe" -vt yazb

Cześć Purity Scana, będzie trzeba dodatkowy log.

fugas761 napisał(a):
O20 - Winlogon Notify: wintfj32 - C:WINDOWSSYSTEM32wintfj32.dll

Nie dobrze :[ Kurde nie mogę teraz przypomnieć sobie co to może być. Poczkeam nadrugiego loga.

Dodaj loga z Silent Runners. Poszukaj za pomocą szukajki.

przez **fugas761** » 19 Paź 2006, 23:19

[/quote] a to tez mam usunac? O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:Program FilesMyGlobalSearchar1.binMGSBAR.DLL
O2 - BHO: ToolBar888 - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:Program FilesCommon Files{3CFCEBC0-0A6B-1045-0804-040406090030}MyToolBar.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:Program FilesMyGlobalSearchar1.binMGSBAR.DLL
O3 - Toolbar: ToolBar888 - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:Program FilesCommon Files{3CFCEBC0-0A6B-1045-0804-040406090030}MyToolBar.dll

O4 - HKLM..Run: [IpWins] C:Program Filesipwinsipwins.exe
O4 - HKCU..Run: [Etop] "C:WINDOWSsystem32MBOLS~1 racert.exe" -vt yazb

O20 - Winlogon Notify: wintfj32 - C:WINDOWSSYSTEM32wintfj32.dll

przez **fugas761** » 19 Paź 2006, 23:19

i czy w trybie awaryjnym?

przez **pp3088** » 19 Paź 2006, 23:39

Spróbujem w normalnym. Po akcji daj 2 logi. Z ihjacka(świeży i z silenta)

Przypomniało mi się wintfj32.dll to Trojan.Dwonloader.Zlob32 więc kasacja pliku i wpisu.

O4 - HKLM..Run: [IpWins] C:Program Filesipwinsipwins.exe
O4 - HKCU..Run: [Etop] "C:WINDOWSsystem32MBOLS~1 racert.exe" -vt yazb

Tego na razie nei ruszaj.

przez **fugas761** » 20 Paź 2006, 14:33

to znaczy ze wszystko co w tabeli jest mam usunac za pomoca HijacjThis a pogrubione dodatkowo z dysku "C" . ten drugi program tez musze sciagnac . Sory ze tak pisze ale ja to robie pierwszy raz i nie mam o tym zielonego pojecia.

jak HijackThis-em usunąć komunikat

jak HijackThis-em usunąć komunikat

Kto jest na forum