Strona 1

dobreprogramy.pl • Zobacz temat - HijackThis, Silent Runners, Combofix i inne - Instrukcja

2008-06-06 13:44:07

http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=36654&start=0&st=0&sk=t&sd=a&vi...

Strona 1 z 1

dobreprogramy.pl

programy bezpłatne i komercyjne, freeware, shareware ...
http://forum.dobreprogramy.pl/

HijackThis, Silent Runners, Combofix i inne - Instrukcja

http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=36654

HijackThis, Silent Runners, Combofix i inne - Instrukcja

przez kuz5

HijackThis

-

do czego służy

Program jest skonstruowany po to by szybciej i łatwiej zlokalizować oraz usunąć komponenty
szpiegujące, trojany, wirusy ogólnie syf który można załapać w sieci. HijackThis generuje
(pokazuje) wpisy prawidłowe jak i szkodliwe także amatorom i nie zaawansowanym
użytkownikom zaleca się nie usuwać jakiegokolwiek wpisów na własną rękę, tylko wygenerować
loga i wkleić go na forum by poddać go analizie.

HijackThis

-

pobierz program

HijackThis 1.99.1

-

link do programu.

Trend Micro HijackThis 2.0.2

-

link do programu

Trend Micro HijackThis 2.0.2

-

link do pobrania z Vortalu

Prośba do userów sprawdzających jak i wklejających loga.

Do wklejających:

- loga wklej według zasad opisanych w tym temacie

- nie wklejaj loga bez przyczyny - czyli od tak sobie (bez podejrzenia infekcji systemu)

- zawsze umieszczaj informacje dotyczące problemu jak i powodu wklejenia loga

- nigdy nie obcinaj (skracaj) loga, często logi są wklejane bez nagłówka lub w połowie uciętego
tak wiec proszę tego nie robić.

Do sprawdzających loga:

- podając wpisy do usunięcia zawsze obejmuj je znacznikiem (tagiem) QUOTE

- nie sprawdzaj loga po części, zawsze podawaj pełen komplet wpisów do usunięcia

- zawsze podawaj kompletny sposób jak usunąć syf, czyli szkodliwe wpisy jak i pliki.

Wysłany: 29.07.2005 (Pią) 22:31

Strona 2

dobreprogramy.pl • Zobacz temat - HijackThis, Silent Runners, Combofix i inne - Instrukcja

2008-06-06 13:44:07

http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=36654&start=0&st=0&sk=t&sd=a&vi...

- nie znasz sie na logach to proponuje sie za niego nie łapać ponieważ grozi to poważnemu
uszkodzeniu systemu lub aplikacji zainstalowanych na kompie.

UPDATE (27.01.2006 16:40)

:

kuz5 napisał(a):- nie sprawdzaj loga po części, zawsze podawaj pełen komplet wpisów do usunięcia

Wazny komunikat dla sprawdzających logi, nie przestrzeganie tego punktu (prośby) będzie
nagradzana ostrzeżeniami a posty bedą leciały od razu do śmietnika bez żadnego informowania
usera

DODATKOWO:

Usuwanie prawidłowych wpisów przez niedoświadczonych userów (i nie tylko),

bedzie surowo karane, wiec przed napisaniem posta prosze naprawde sie zastanowić by nie było
później niepotrzebnych pytań typu:

"

A dlaczego dostałem ostrzeżenie lub zakaz pisania ?? "

HijackThis

-

dla początkujących

Duża liczba userów zadaje pytanie jak zrobić loga itp. więc postanowiłem krótko opisać trzy
podstawowe rzeczy dotyczące loga HijackThis a są nimi:

1. Skanowanie i tworzenie loga.
2. Usuwanie szkodliwych wpisów.
3. Przykładowy wygląd loga.

Uwaga:

Do pobrania krótkie demonstracje:

HijackThis - Tworzenie oraz wklejanie loga
HijackThis - Kasowanie szkodliwych wpisów
HijackThis - Przywracanie skasowanych wpisów (Backups)

1. Skanowanie i tworzenie loga.

Czyli uruchamiamy program i klikamy

Do a system scan and save a logfile

po tej operacji zacznie

się skanowanie

następnie automatycznie wyskoczy nam dokument tekstowy z wygenerowanym logiem którego
całą zawartość wklejamy na forum.

Uwaga:

Wyżej wymieniony dokument tekstowy zostanie automatycznie zapisany w folderze w

którym znajduje się program

2. Usuwanie szkodliwych wpisów.

Uruchamiamy program i klikamy

Do a system scan only

Strona 3

dobreprogramy.pl • Zobacz temat - HijackThis, Silent Runners, Combofix i inne - Instrukcja

2008-06-06 13:44:07

http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=36654&start=0&st=0&sk=t&sd=a&vi...

następnie klikamy

Scan

po czym program rozpocznie skanowanie, po jego ukończeniu

zaznaczamy wpisy które chcemy usunąć i klikamy

Fix checked

3. Przykładowy wygląd loga.

Cały log powinien wyglądać tak:
Kod: Zaznacz wszystko

Logfile of HijackThis v1.99.1

Scan saved at 20:03:36, on 2005-04-19

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

D:\Bezpie\Anty\ashDisp.exe

C:\Program Files\D-Link\Air Utility\AirCFG.exe

C:\WINDOWS\system32\ctfmon.exe

D:\Bezpie\Anty\aswUpdSv.exe

D:\Bezpie\Anty\ashServ.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\WZCBDL Service\WZCBDLS.exe

D:\Bezpie\Anty\ashMaiSv.exe

D:\Bezpie\Anty\ashWebSv.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Microsoft Office\Office\WINWORD.EXE

D:\Narz

ę

dzia Systemowe\hijackthis\hijackthis\HijackThis.exe

C:\WINDOWS\System32\svchost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://

Strona 4

dobreprogramy.pl • Zobacz temat - HijackThis, Silent Runners, Combofix i inne - Instrukcja

2008-06-06 13:44:07

http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=36654&start=0&st=0&sk=t&sd=a&vi...

www.google.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet

Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

Ł

ą

cza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE

C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog

Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [avast!] D:\Bezpie\Anty\ashDisp.exe

O4 - HKLM\..\Run: [D-Link Air Utility] C:\Program Files\D-Link\Air

Utility\AirCFG.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Internet\gadu gadu\Gadu-Gadu\gg.exe" /

tray

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft

Office\Office\OSA9.EXE

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/

wuweb_site.cab?1102263364124

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -

D:\Bezpie\Anty\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner -

D:\Bezpie\Anty\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner -

D:\Bezpie\Anty\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner -

D:\Bezpie\Anty\ashWebSv.exe" /service (file missing)

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation -

C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) -

Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: WZCBDL Service (WZCBDLService) - D-Link - C:\Program

Files\WZCBDL Service\WZCBDLS.exe

Strona 5

dobreprogramy.pl • Zobacz temat - HijackThis, Silent Runners, Combofix i inne - Instrukcja

2008-06-06 13:44:07

http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=36654&start=0&st=0&sk=t&sd=a&vi...

Piszę o tym ponieważ dużo userów obcina loga czyli wkleja na forum tylko część loga.

HijackThis

-

dla zaawansowanych

Postanowiłem w miarę swoich możliwości troszkę szerzej opisać HijackThis, czyli jego
podstawowe funkcje jak i narzędzia które posiada.
A wiec zaczynamy.

Główny panel programu

Po odpaleniu programu pojawi się główny panel programu który wygląda ta:

Do a system scan and save a logfile

- Jak sama nazwa mówi jest to opcja która skanuje nasz system a

zarazem automatycznie zapisuje efekt skanu czyli wygenerowany log HijackThis, opcja ta jest bardzo
przydatna dla początkujących którzy chcą w szybki i bezproblemowy sposób wkleić swojego loga na
forum by poddać go analizie.
Uwaga: Wyżej wymieniony dokument tekstowy czyli wygenerowany log HijackThis zostanie
automatycznie zapisany w folderze w którym znajduje się program.

Do a system scan only

- Ta opcja zazwyczaj (prawie zawsze) jest wykorzystywana do czyszczenia

loga, czyli do usuwania wpisów które są szkodliwe, ponieważ nie wykonuje zbędnych operacji takich
jak automatyczne zapisywanie loga, ta opcja tylko i wyłącznie automatycznie robi skan systemu nic
poza tym wystarczy skorzystać z tej opcji następnie, po jego ukończeniu zaznaczamy wpisy które
chcemy usunąć i klikamy

Fix checked

.

View the list of backups - Opcja z której można skorzystać w sytuacji gdy przez przypadek lub innej
przyczyny usunęliśmy prawidłowy wpis który chcemy przywrócić, po kliknięciu tej opcji pojawi się
nam lista usuniętych wpisów po czym wybieramy wpisy które chcemy przywrócić i klikamy

Restore

.

Open the Misc Tools section

- Po kliknięciu tej opcji pojawią nam się dodatkowe narzędzia (opcje)

HijackThis, które zostaną opisane poniżej.

Open online HijackThis QuickStart

- A po kliknięciu tej opcji odpali się strona z ogólnymi

informacjami dla początkujących na temat HijackThis.

None of the above, just start the program - Ta zaś opcja jest całkowicie (przeciwna) odwrotna
opcji

Do a system scan and save a logfile, a zatem czym się różni, w w/w opcji wszystko robi się

automatycznie a w tej wszystko trzeba robić oddzielnie czyli skan zapisywanie loga itp. Np. jeżeli
chcemy coś usunąć to musimy przejść przez szereg niepotrzebnych czynności, klikamy

Scan

po czym

program rozpocznie skanowanie, po jego ukończeniu zaznaczamy wpisy które chcemy usunąć i
klikamy

Fix checked

. (podsumowując tą opcje, daje nam ona po prostu możliwość oddzielnego

robienia skanu czy też zapisywania loga itp.)
Jak dla mnie ta opcja jest zbędna, podkreślam

dla mnie dla kogoś innego może ona nie być

zbyteczna.

Strona 6

dobreprogramy.pl • Zobacz temat - HijackThis, Silent Runners, Combofix i inne - Instrukcja

2008-06-06 13:44:07

http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=36654&start=0&st=0&sk=t&sd=a&vi...

Panel skanu systemu

A tak wygląda panel scanu systemu, poniżej króciutko napisze do czego służy dany klawisz (opcja)

Scan - Po jego naciśnięciu rozpocznie się skanowanie systemu.

Fix Checked - Służy do kasowania szkodliwych wpisów

Info on selected item... - Dodatkowe info na temat danego wpisu (procesu)

Info... - To samo co Pomoc znajdziemy tam takie info jak jaką aktualnie posiadamy wersję HijackThis
oraz wiele innych ciekawych informacji.

Config.... - Po kliknięciu tej opcji ukarzą nam się takie opcje jak Main, Ignorelist, Backups oraz Misc
Tools

Add checked to ignorelist - Ta opcja zaś służy do dodawania wpisów na listę jako ignorowanych.

Main

Hmmm dużo tu nie będę opisywać, w tej zakładce znajdziemy standardowe ustawienia programu
takie jak, kopie zapasową usuwanych wpisów czyli

Backups itp.

Ignorelist

W tej zakładce znajduje się lista zignorowanych wpisów które dodaliśmy poprzez

Add checked to

ignorelist

Backups

Jest to ta samo funkcja (opcja) co

View the list of backups.

Po kliknięciu tej zakładki (opcji) zobaczymy listę wpisów skasowanych przez nas HijackThisem (fix
checked)

Opcja z której można skorzystać w sytuacji gdy przez przypadek lub innej przyczyny usunęliśmy
prawidłowy wpis który chcemy przywrócić, wybieramy wpisy które chcemy przywrócić i klikamy

Restore

.

Misc Tools

Jest tą samą opcją co

Open the Misc Tools section.

A wiec tak w tej zaś zakładce (opcji) znajdziemy wiele pożytecznych dodatkowych funkcji (opcji)
HijackThis które spróbuje pokrótce streścić.

Strona 7

dobreprogramy.pl • Zobacz temat - HijackThis, Silent Runners, Combofix i inne - Instrukcja

2008-06-06 13:44:07

http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=36654&start=0&st=0&sk=t&sd=a&vi...

Generate StartupList log

- Po skorzystaniu z tej opcji jak i z dwóch opcji obok zostanie

wygenerowany bardzo szczegółowy (poszerzony) log.

Open process manager

- Coś podobnego do menadżera zadań w tej opcji można ubić dany proces,

dodatkowo jeżeli zahaczykujemy opcje

Show DLLs dodatkowo pokaże się lista plików dll ładowanych

przez dany proces.

Open hosts file manager

Jest to edytor pliku

Hosts w którym można dodawać adresy stron celem zablokowania dostępu do

nich, jak i kasować niepotrzebne wpisy.

Plik hosts można edytować także ręcznie:
C:\WINDOWS\system32\drivers\etc - ścieżka dla Win XP
Generalnie można usuwać wszystkie wpisy prócz

127.0.0.1 localhost

.

Delete a file on reboot....

Opcja w której kasujemy ciężkie do skasowania pliki, tak wiec opcja ta jest korzystna ponieważ
kasowanie pliku odbywa się w trakcie restartowania kompa.

Delete an NT service....

Zaś ta opcja służy do kasowanie (wyłączenia) usług z rejestru. Konkretnie chodzi tu o wpisy 023.

Open ADS Spy...

Ta opcja przeznaczona jest dla Windows NT/2000/XP posiadające system plików NTFS do podglądu
strumieni NTFS, potrafi dostrzec ukryte protokoły, pliki wykorzystujące nowe metody ukrywania.

Open Uninstall Manager...

To jest to samo co Dodaj/Usuń programy w Panelu Sterowania, czyli można usuwać jak i edytować
zainstalowane programy.

Check for update online

Sprawdzanie czy w sieci nie znajduje sie nowsza wersja oraz aktualizacja HijackThis.

Uninstall HijackThis & exit

Jest to coś w stylu odinstalowania HijackThis i wyjście z programu.

przez kuz5

Wysłany: 22.02.2006 (Śro) 2:01

Strona 8

dobreprogramy.pl • Zobacz temat - HijackThis, Silent Runners, Combofix i inne - Instrukcja

2008-06-06 13:44:07

http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=36654&start=0&st=0&sk=t&sd=a&vi...

Silent Runners

- instrukcja

Silent Runners

-

link do programu. (Jeżeli będą problemy w pobraniu skryptu należy kliknąć

prawym myszki na likn wybierając opcje

"Zapisz element docelowy jako"

dt. to głównie

przeglądarek FF)

Silent Runners jest narzędziem, którego głównym celem jest pokazanie wszystkiego co startuje
wraz z naszym systemem i nie tylko......
Silent Runners skanuje nasz system, po czym swój wynik zapisuje w wygenerowanym logu
(plik .txt), znajduje się w nim lista kluczy oraz lokalizacji programów zainstalowanych w naszym
systemie oraz lokalizacje syfu który załapaliśmy w necie (w szybki sposób można zlokalizować
gdzie dany szkodnik siedzi).
Silent nie wnosi żadnych zmian w naszym systemie czyli nie usuwa kluczy rejestru, plików itd.
silent tylko i wyłącznie skanuje system tworząc log który oczywiście wklejacie na forum poddając
go analizie.

Silent różni się od HijackThisa, chodz jedno jak i drugie narzędzie tworzy log z szkodliwymi
wpisami jak i prawidłowymi.
HijackThis ma o wiele więcej funkcji, jest bardziej rozbudowany co nie oznacza - lepszy, silent
jest dokładniejszy, pokazuje to czego nie pokazuje HijackThis

Skanowanie i tworzenie loga.

Odpalamy narzędzie poprzez dwókrotne klikniecie na plik ściągniety z linku wyżej.
Po odpaleniu narzędzia pojawi nam sie okienko z pytaniem

"Czy chcesz ominąć dokładne

wyszukiwanie (skanowanie), które trwa dłużej (powoli)""

Na poniższym obrazku widzimy jakie są dostępne opcje odpowiedzi:

Oczywiście wybieracie opcje No (Nie)
Po kliknieciu tej opcji, pojawi sie komunikat informujacy o starcie skanowania

W tej chwili narzedzie skanuje rejestr generując (tworząc) loga.

Skanowanie odbywa sie w tle czyli jest niewidoczne, co jest główna przyczyna obciętych logów,
poprostu user mysli ze skanowanie sie już zakończyło. Skanowanie trwa góra 1min, wiec prosze
poczekac do całkowitego zakończenia pracy narzedzia, które nas poinformuje takim
komunikatem

:

Log jest tworzony w folderze gdzie znajduje sie Silent Runners jako plik tekstowy

Startup

Programs (data-czas). TXT

. Otwieramy plik i wklejamy cała jego zawartośc na forum.

Przykładowy wygląd loga

Kod: Zaznacz wszystko

"Silent Runners.vbs", revision 43, http://www.silentrunners.org/

Operating System: Windows XP SP2

Strona 9

dobreprogramy.pl • Zobacz temat - HijackThis, Silent Runners, Combofix i inne - Instrukcja

2008-06-06 13:44:07

http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=36654&start=0&st=0&sk=t&sd=a&vi...

Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:

---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

"Gadu-Gadu" = ""C:\Program Files\Gadu-Gadu\gg.exe" /tray" ["Gadu-Gadu Sp. z

oo"]

"NBJ" = ""C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"" ["Ahead Software

AG"]

"PcSync" = "C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog"

["Time Information Services Ltd."]

"MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]

"ATIPTA" = "C:\Program Files\ATI Technologies\ATI Control

Panel\atiptaxx.exe" ["ATI Technologies, Inc."]

"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [null data]

"WooCnxMon" = "C:\PROGRA~1\NEOSTR~1\CnxMon.exe" [empty string]

"WOOWATCH" = "C:\PROGRA~1\NEOSTR~1\Watch.exe" ["France Télécom R&D"]

"WOOTASKBARICON" = "C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe" ["France Télécom

R&D"]

"DAEMON Tools-1033" = ""C:\Program Files\D-Tools\daemon.exe" -lang 1045"

["DAEMON'S HOME"]

"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software

Gmbh"]

"PCSuiteTrayApplication" = "C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -

onlytray" ["Nokia"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper

Objects\

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class"

[from CLSID]

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat

6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]

{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)

-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll"

["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

Strona 10

dobreprogramy.pl • Zobacz temat - HijackThis, Silent Runners, Combofix i inne - Instrukcja

2008-06-06 13:44:07

http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=36654&start=0&st=0&sk=t&sd=a&vi...

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania

wy

ś

wietlania"

-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony

HyperTerminalu"

-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll"

["Hilgraeve, Inc."]

"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon

Handler"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft

Office\Office10\OLKFSTUB.DLL" [MS]

"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon

Handler"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft

Office\Office10\msohev.dll" [MS]

"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil

Software\Avast4\ashShell.dll" ["ALWIL Software"]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll"

[null data]

"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"

-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll"

[MS]

"{416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A}" = "PhoneBrowser"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Nokia\Nokia PC

Suite 6\PhoneBrowser.dll" ["Nokia"]

"{C0C4375A-5B72-4efe-929D-3B848C3A1E91}" = "Message View"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Nokia\Nokia PC

Suite 6\MessageView.dll" ["Nokia"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\

avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil

Software\Avast4\ashShell.dll" ["ALWIL Software"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll"

[null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll"

Strona 11

dobreprogramy.pl • Zobacz temat - HijackThis, Silent Runners, Combofix i inne - Instrukcja

2008-06-06 13:44:07

http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=36654&start=0&st=0&sk=t&sd=a&vi...

[null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\

avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil

Software\Avast4\ashShell.dll" ["ALWIL Software"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll"

[null data]

Active Desktop and Wallpaper:

-----------------------------

Active Desktop is disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\

"Wallpaper" = "C:\Documents and Settings\TG\Ustawienia lokalne\Dane

aplikacji\Microsoft\Wallpaper1.bmp"

Startup items in "TG" & "All Users" startup folders:

----------------------------------------------------

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart

"DSLMON" -> shortcut to: "C:\Program Files\SAGEM\SAGEM F@st 800-

840\dslmon.exe /W" [empty string]

"Kalendarz XP" -> shortcut to: "C:\Program Files\Kalendarz

XP\Kalendarz.exe" [null data]

"Microsoft Office" -> shortcut to: "C:\Program Files\Microsoft

Office\Office10\OSA.EXE -b -l" [MS]

Enabled Scheduled Tasks:

------------------------

"1-Click Maintenance" -> launches: "C:\Program Files\TuneUp Utilities

2006\SystemOptimizer.exe /schedulestart" [file not found]

Winsock2 Service Provider DLLs:

-------------------------------

Strona 12

dobreprogramy.pl • Zobacz temat - HijackThis, Silent Runners, Combofix i inne - Instrukcja

2008-06-06 13:44:07

http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=36654&start=0&st=0&sk=t&sd=a&vi...

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_

Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_

Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ##

range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:

------------------------------------

Explorer Bars

Dormant Explorer Bars in "View, Explorer Bar" menu

HKLM\Software\Classes\CLSID\{01002DB2-8170-4D9B-A8B1-DDC9DD114E03}\ =

"Volet Wanadoo"

Implemented Categories\{00021494-0000-0000-C000-000000000046}\ [horizontal

bar]

InProcServer32\(Default) = "C:\PROGRA~1\NEOSTR~1\audience\audience.dll"

[empty string]

HKLM\Software\Classes\CLSID\{3BAF4A27-C764-4E1A-A6F4-62F7A7E5E51C}\ =

"ToolBand Class"

Implemented Categories\{00021494-0000-0000-C000-000000000046}\ [horizontal

bar]

InProcServer32\(Default) = "C:\PROGRA~1\NEOSTR~1\audience\audience.dll"

[empty string]

HKLM\Software\Classes\CLSID\{5BF498C0-931E-4A4F-B33F-456D07137EAA}\ =

"Volet Wanadoo"

Implemented Categories\{00021494-0000-0000-C000-000000000046}\ [horizontal

bar]

InProcServer32\(Default) = "C:\PROGRA~1\NEOSTR~1\audience\audience.dll"

Strona 13

dobreprogramy.pl • Zobacz temat - HijackThis, Silent Runners, Combofix i inne - Instrukcja

2008-06-06 13:44:07

http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=36654&start=0&st=0&sk=t&sd=a&vi...

[empty string]

Miscellaneous IE Hijack Points

------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\

Missing lines (compared with English-language version):

"{08C06D61-F1F3-4799-86F8-BE1A89362C85}" = "Search Class" [from CLSID]

-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL"

[empty string]

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\

HIJACK WARNING! "TuneUp" = "file://C|/Documents and Settings/All Users/Dane

aplikacji/TuneUp Software/Common/base.css" [file not found]

Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------

avast! Antivirus, avast! Antivirus, ""C:\Program Files\Alwil

Software\Avast4\ashServ.exe"" [null data]

avast! iAVS4 Control Service, aswUpdSv, ""C:\Program Files\Alwil

Software\Avast4\aswUpdSv.exe"" [null data]

avast! Mail Scanner, avast! Mail Scanner, ""C:\Program Files\Alwil

Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]

avast! Web Scanner, avast! Web Scanner, ""C:\Program Files\Alwil

Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]

----------

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

launch it from a command prompt or a shortcut with the -all parameter.

+ The search for DESKTOP.INI DLL launch points on all local fixed drives

took 35 seconds.

+ The search for all Registry CLSIDs containing dormant Explorer Bars

took 11 seconds.

---------- (total run time: 75 seconds)

przez kuz5

Wysłany: 21.04.2006 (Pią) 1:08

Strona 14

dobreprogramy.pl • Zobacz temat - HijackThis, Silent Runners, Combofix i inne - Instrukcja

2008-06-06 13:44:07

http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=36654&start=0&st=0&sk=t&sd=a&vi...

HaxFix

HaxFix

-

link do programu.

HaxFix jest narzędziem usuwającym ciężką do skasowania rodzinkę Backdoor.Haxdoor z numerkami
w nazwie i nie tylko: (np. xxxx32.dll , xxxx16.dll , aaaaxt.dll oraz aaaatt.dll)
Objawia się on w HijackThis wpisem 020

xxxx32.dll

O20 - Winlogon Notify: cert32 - C:\WINDOWS\SYSTEM32\

cert32.dll

O20 - Winlogon Notify: draw32 - C:\WINDOWS\SYSTEM32\

draw32.dll

O20 - Winlogon Notify: tcpR32 - C:\WINDOWS\SYSTEM32\

tcpR32.dll

O20 - Winlogon Notify: avpx32 - C:\WINDOWS\SYSTEM32\

avpx32.dll

O20 - Winlogon Notify: avpu32 - C:\WINDOWS\SYSTEM32\

avpu32.dll

O20 - Winlogon Notify: axxt32 - C:\WINDOWS\SYSTEM32\

axxt32.dll

O20 - Winlogon Notify: avpe32 - C:\WINDOWS\SYSTEM32\

avpe32.dll

O20 - Winlogon Notify: pptp32 - C:\WINDOWS\SYSTEM32\

pptp32.dll

O20 - Winlogon Notify: fuxx32 - C:\WINDOWS\SYSTEM32\

fuxx32.dll

O20 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\

winm32.dll

xxxx16.dll

O20 - Winlogon Notify: skyx16 - C:\WINDOWS\SYSTEM32\

skyx16.dll

O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\

drct16.dll

O20 - Winlogon Notify: xptp16 - C:\WINDOWS\SYSTEM32\

xptp16.dll

O20 - Winlogon Notify: pptp16 - C:\WINDOWS\SYSTEM32\

pptp16.dll

aaaaxt.dll

O20 - Winlogon Notify: mmx4xt - C:\WINDOWS\SYSTEM32\

mmx4xt.dll

aaaatt.dll

O20 - Winlogon Notify: xptptt - C:\WINDOWS\SYSTEM32\

xptptt.dll

O20 - Winlogon Notify: xdudtt - C:\WINDOWS\SYSTEM32\

xdudtt.dll

aaaadx.dll

O20 - Winlogon Notify: wxtwdx - C:\WINDOWS\SYSTEM32\

wxtwdx.dll

aaaa01.dll

O20 - Winlogon Notify: yvpp01 - C:\WINDOWS\SYSTEM32\

yvpp01.dll

Strona 15

dobreprogramy.pl • Zobacz temat - HijackThis, Silent Runners, Combofix i inne - Instrukcja

2008-06-06 13:44:07

http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=36654&start=0&st=0&sk=t&sd=a&vi...

ccccax.dll

O20 - Winlogon Notify: vistax - C:\WINDOWS\SYSTEM32\

vistax.dll

xxxxgs.dll

O20 - Winlogon Notify: sertgs - C:\WINDOWS\SYSTEM32\

sertgs.dll

xxxxhh.dll

O20 - Winlogon Notify: bmtdhh - C:\WINDOWS\SYSTEM32\

bmtdhh.dll

xxxx3a.dll

O20 - Winlogon Notify: dvb03a - C:\WINDOWS\SYSTEM32\

dvb03a.dll

Instalacja

Instalujemy wcześniej pobrane narzędzie, przy instalacji proszę o zaznaczenie opcji "Utwórz ikonę na
pulpicie" co znacznie ułatwi nam odpalenie programu jak i ograniczy zadawanie zbędnych pytań
typu: "Który plik odpalić, by uruchomić narzędzie ?"

Uruchamianie

Oczywiście gdy już zainstalujemy program, odpalamy nasze narzędzie.
Po odpaleniu HaxFix pojawi nam się okienko z informacją:
"Aby kontynuować, naciśnij dowolny klawisz" ,
wiec robimy to o co zostaliśmy poproszeni

Po w/w czynności ukaże się główne okno programu z wyborem poszczególnych opcji (czyli menu).

1. Make logfile - opcja ta jest przeznaczona do tworzenia loga (może to chwilkę potrwać), który
sprawdza system na obecność Haxdoora oraz jego variant (xxxx16.dll , xxxx32.dll) tworząc loga
Podczas tworzenia loga system sprawdza obecność pliku ps.a3d, zostają również sprawdzone klucze,
pod klucze oraz usługi.
Wszystkie te informacje zostaną zapisane w utworzonym logu haxlog.txt

2. Run auto Fix - jak sama nazwa wskazuje, jest to opcja automatycznego usuwania
Jeżeli narzędzie nic nie znajdzie powiadomi was o tym stosownym komunikatem, a jeżeli znajdzie to
zostaniecie poproszeni o wyłączenie wszystkich okienek itp. po prostu postępujemy zgodnie z
instrukcją widoczną na ekranie.

3. Run manual Fix - czyli opcja kasowania ręcznego, i z tej opcji będziemy korzystać, po wybraniu

Strona 16

dobreprogramy.pl • Zobacz temat - HijackThis, Silent Runners, Combofix i inne - Instrukcja

2008-06-06 13:44:07

http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=36654&start=0&st=0&sk=t&sd=a&vi...

tej opcji pojawi się okno:

W tym oknie wpisujemy nazwę Haxdoora bez numerka, którego nazwa znajduje się w wpisie 020 w
HijackThis
Zaznaczam nazwa ma być wpisana bez numerku:

Przykład:

Jeżeli w logu widnieje taki wpis:
O20 - Winlogon Notify: draw32 - C:\WINDOWS\SYSTEM32\

draw

32.dll

To wpisujemy

draw

O20 - Winlogon Notify: avpe32 - C:\WINDOWS\SYSTEM32\

avpe

32.dll

Wpisujemy

avpe

O20 - Winlogon Notify: pptp32 - C:\WINDOWS\SYSTEM32\

pptp

32.dll

Wpisujemy

pptp

O20 - Winlogon Notify: xptp16 - C:\WINDOWS\SYSTEM32\

xptp

16.dll

Wpisujemy

xptp

O20 - Winlogon Notify: pptp16 - C:\WINDOWS\SYSTEM32\

pptp

16.dll

Wpisujemy

pptp

O20 - Winlogon Notify: xptptt - C:\WINDOWS\SYSTEM32\

xptp

tt.dll

Wpisujemy

xptp

O20 - Winlogon Notify: mmx4xt - C:\WINDOWS\SYSTEM32\

mmx4

xt.dll

Wpisujemy

mmx4

ITD.

Po wpisaniu nazwy i zatwierdzeniu klikając Enter, postępujemy zgodnie z instrukcją widoczną na
ekranie :

[Jeżeli szkodnik (infekcja) zostanie znaleziona:
Zostaniemy poproszeni o zamkniecie wszystkich działających aplikacji (okienek), prócz narzędzia
HaxFix, po ich zamknięciu klikamy Enter, komp się zrestartuje, po restarcie pojawi sie okno HaxFix
prosząc o ponowne wpisanie nazwy Haxdoora (tej co wpisywaliśmy poprzednio)]

Jeżeli zaś infekcja nie zostanie znaleziona otrzymamy wiadomość:
Do you want to add a new haxdoorkey?

Press Y for YES or N for NO and then press Enter:

Czy chcemy dodać jeszcze jakąś nazwę (subkey) Haxdoora do usunięcia ?
Jeżeli tak to wpisujemy Y i potwierdzamy Enterem

Strona 17

dobreprogramy.pl • Zobacz temat - HijackThis, Silent Runners, Combofix i inne - Instrukcja

2008-06-06 13:44:07

http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=36654&start=0&st=0&sk=t&sd=a&vi...

Jeżeli nie to wpisujemy N i potwierdzamy Enterem

Na koniec zostanie zapisany raporcik haxfix.txt

4. Run wnlogow fix - opcja ta sprawdza czy na naszym kompie dostępna jest usługa WNLOGOW
(sprawdza jej obecność)

Haxdoor: avload32.dll
Tego Haxdoora zobaczymy w HijackThis w takiej postaci:
O20 - Winlogon Notify: avload32 - C:\WINDOWS\SYSTEM32\

avload32.dll

W/w Haxdoor instaluje usługę zwaną WNLOGOW
Ta usługa powinna zostać już zdemaskowana w logu HaxFix (opcja nr.1)
W logu bedzie widoczny taki zapis:
checking for matching notify keys....
matching notify keys found
avload32

checking for matching services....
matching services found
wnlogow

Tak wiec sumując, Haxdoor avload32.dll instaluje usługę WNLOGOW, której obecność sprawdzi opcja
"Run wnlogow fix"
Znajduje i zabija

Myślę że Haxdoorkey (nazwa która wpisujemy w opcji nr3) będzie wyglądać tak: avload

E. Exit HaxFix - wyjście (zamknięcie narzędzia)

przez kuz5

SmitFraudFix

SmitFraudFix

-

link do programu.

SmitFraudFix

- narzędzie kasujące różnej maści syf (znany i trapiący niejednego internautę)

mi.

Smitfraud, Win32.puper, AVGold, Security iGuard, Spyware Vanisher, quicknavigate.com,

updateSearches.com, startsearches.net, Virtual Maid, SpySheriff, PSGuard, SpyAxe, WinHound,
AlphaCleaner, AdwarePunisher, SpywareQuake...

Pierwszą czynnością będzie pobieranie i wypakowanie pliki do nowego folderu (.rar)
Po wypakowaniu plików w folderze powinny być widoczne oto takie pliki:

Wysłany: 11.05.2006 (Czw) 17:13

Strona 18

dobreprogramy.pl • Zobacz temat - HijackThis, Silent Runners, Combofix i inne - Instrukcja

2008-06-06 13:44:07

http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=36654&start=0&st=0&sk=t&sd=a&vi...

By uruchomić narzędzie klikamy dwukrotnie na plik

SmitFraudFix.cmd

Pierwszym widokiem jakie ujrzymy po uruchomieniu programu, będzie standardowy komunikat z
napisem

Press a key to continue.... czyli "Kliknij dowolny klawisz aby kontynuować" (screen niżej) ,

wiec klikamy dowolny klawisz

Po kliknięciu dowolnego klawisza zostaniemy przeniesieni do głównego

Menu narzędzia z

poszczególnymi opcjami:

1. Search

Chyba każdy wie do czego służy, narzędzie wykonuje skan naszego systemu w poszukiwaniu
zainfekowanych plików, tworząc raport ze skanowania który znajduje się w

C:\rapport.txt:

2. Clean <safe mode recommended>

Czyli krótko mówiąc opcja (automatycznego) czyszczenia zainfekowanych plików.

Z tej opcji zawsze korzystamy w trybie awaryjnym (przy odpaleniu klikasz

F8 )

W czasie trwania akcji czyszczenia zobaczymy pytanie

Do you want to clean the registry ? <y/n>

klikamy Y (Yes) czyli Tak <= opcja ta czyści rejestr z kluczy powiązanymi z zainfekowanymi plikami
(wykasuje także bieżące tło pulpitu)
Narzędzie sprawdzi czy plik wininet.dll nie jest zainfekowany, możemy zostać zapytani o podmianę
pliku

Replace infected file ? klikamy Y (Yes)

Na koniec, może wymagany być restart kompa by całkowicie ukończyć operacje czyszczenia
Cały przebieg czyszczenia utworzy oczywiście raporcik w

C:\rapport.txt

3. Delete Trusted zone

Opcja kasowania "Zaufanych" lub "Ograniczonych" witryn
W logu HijackThis często wystepują jako wpis 015

L. French Language

Zmiana języka (narzędzia) na Francuski

Q. Quite

Wyjście z programu

przez kuz5

Look2Me-Destroyer

Look2Me-Destroyer

-

link do programu.

Look2Me-Destroyer

- obszernego opisu tu nie będzie, krótko, jest to automat zabijający

znanego i bardzo natrętnego szkodnika, a jest nim

VX2 (Look2Me), skuteczność tego narzędzia jest

bardzo wysoka (chodź zdarzają się przypadki że sobie z nim nie radzi, ale wtedy ubijemy drania
ręcznie )

Objawy infekcji:

Wysłany: 12.05.2006 (Pią) 22:04

Strona 19

dobreprogramy.pl • Zobacz temat - HijackThis, Silent Runners, Combofix i inne - Instrukcja

2008-06-06 13:44:07

http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=36654&start=0&st=0&sk=t&sd=a&vi...

Główna objaw infekcji jest nalot okienek, reklam otwierających się samoistnie bez naszego
pozwolenia, drugim objawem są przekierowania na badziewne strony mi:
http://www.ad-w-a-r-e.com/cgi-bin/UnInstaller

<= proszę na ta stronę nie wchodzić, i nic nie

robić
http://www.great-coupon.com/normal/yyyXXX.html

<= gdzie w miejscu X znajduje się różna

liczba

Za pomocą HijackThisa można w szybki sposób zorientować się iz posiadamy w/w syf:
W logu objawia się on wpisem 020 którego plik nosi losową nazwę dziada:
Przykłady:
O20 - Winlogon Notify: MCD - C:\WINDOWS\system32\

f0l0la3m1d.dll

O20 - Winlogon Notify: Shell Extensions - C:\WINDOWS\system32\

r48s0el7ehq.dll

O20 - Winlogon Notify: ThemeManager - C:\WINDOWS\system32\

f02mlaf11d2.dll

O20 - Winlogon Notify: Shell Extensions - C:\WINDOWS\system32\

g822lifo182c.dll

O20 - Winlogon Notify: BITS - C:\WINDOWS\system32\

l26olcj31fo.dll

O20 - Winlogon Notify: Controls Folder - C:\WINDOWS\system32\

irlql5351.dll

O20 - Winlogon Notify: SideBySide - C:\WINDOWS\system32\

j0p0la7m1d.dll

O20 - Winlogon Notify: Reinstall - C:\WINDOWS\system32\

dn2q01f5e.dll

O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\

m0460ahsed460.dll

O20 - Winlogon Notify: Themes - D:\WINDOWS\system32\

m664lgjq16oe.dll

O20 - Winlogon Notify: CSCSettings - C:\WINDOWS\system32\

e0jm0a11ed.dll

O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\system32\

o0660ajsedo60.dll

O20 - Winlogon Notify: SideBySide - C:\WINDOWS\system32\

ir44l5hq1.dll

O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\

ktlul7391.dll

O20 - Winlogon Notify: Reliability - C:\WINDOWS\system32\

en2ql1f51.dll

W logu możemy zobaczyć także takie wpisy:
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch

Przed rozpoczęciem pracy z programem, zamykamy wszystkie otwarte okna narzędzia.
Uruchamiamy Look2Me-Destroyer poprzez dwukrotne klikniecie na plik wcześniej pobrany.
Zobaczymy oto takie okienko:

By kontynuować prace z narzędziem zaznaczamy
Po czy wyskoczy nam komunikat:

Jest to komunikat mówiący iż Look2Me-Destroyer zostanie zamknięty, po czym otworzy się po ok. 1
minucie.
Wiec klikamy

OK

Uwaga:

coraz częściej userzy zgłaszaja iż po klikniecu ok narzedzie nie uruchamia się po 1min.

lub wcale się nie uruchamia:
Jeżeli komuś sie to zdaży prosze zrobić tak:
Start => Panel Sterowania => Zaplanowane zadania, kliknąć na ("At") zadanie z ikonką Look2Me-

Strona 20

dobreprogramy.pl • Zobacz temat - HijackThis, Silent Runners, Combofix i inne - Instrukcja

2008-06-06 13:44:07

http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=36654&start=0&st=0&sk=t&sd=a&vi...

Destroyer prawym przyciskiem myszy i wybrać

Uruchom

Następnie wyskoczy okienko:

Jak widzimy okienko jest juz z uaktywnionym przyciskiem , który oczywiście klikamy.
Od tej chwili zaczyna się skanowanie w poszukiwaniu zainfekowanych plików:

Po ukończeniu skanowania zostaniemy poinformowani takim komunikatem:

Po kliknięciu

OK zostanie aktywowany przycisk , którego klikamy

Po jego kliknięciu, rozpocznie się proces kasowania zainfekowanych plików itp.

Oczyszczania systemu zakończy się taki kominikatem:

Który mówi nam iż kasowanie plików zostało zakończone, a nasz komputer po kliknięcu OK zostanie
wyłączony

Oczywiście po włączeniu komputera zobaczymy plik

Look2Me-Destroyer.txt z informacjami całego

przebiegu oczyszczania.

przez

lazikar

Wszelkie prawa zastrzeżone.
Powielanie i publikowanie na innych stronach w/w tekstu bez zgody autora zabronione.

przez

Gutek2222

ComboFix

Pobierz: -

KLIK

INSTRUKCJA URUCHOMIENIA:
1) Trzeba zamknąć wszystkie otwarte okna i programy.
2) ComboFix uruchamia się przez dwuklik na ikonkę

ComboFix.exe i po tym 2 x TAK klikniemy.

3) pojawi się napis:
please wait - więc czekać
4) pojawi się napis:
ComboFix has changed your clock settings. - dalej czekać
5) w czasie skanowania nie wolno nic robić, nawet poruszać myszką.
pojawi się napis:
Completed stage_1 - czekać
6) pojawi się napis:
Preparing log report.
Do not run any programs until ComboFix has finished - czekać
7) pojawi się napis:
Almost done.

Wysłany: 03.06.2006 (Sob) 19:13

Wysłany: 27.07.2007 (Pią) 9:07

Strona 21

dobreprogramy.pl • Zobacz temat - HijackThis, Silent Runners, Combofix i inne - Instrukcja

2008-06-06 13:44:07

http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=36654&start=0&st=0&sk=t&sd=a&vi...

Wszystkie czasy w strefie UTC + 1 godzina (czas letni)

Strona 1 z 1

This window will close in a short while
Please wait a few secunds for the report log to pop-up.
ComboFix,s log shall be located at C:\ComboFix.txt
Pojawi się log. Jeśli się nie pojawi na ekranie, to można go znaleźć na

C:\ComboFix.txt

9) Log może być długi, więc zapisz go sobie gdzieś, a potem wklej na

http://wklej.org/

, a w poście

daj tylko link.

Jak nie dział Combo:

Dajemy log z

Deckard's System Scanner

Re: HijackThis, Silent Runners, Combofix i inne - Instrukcja

przez

Gutek2222

SDFIX

- co usuwa SDFix -

KLIKNIJ

Pobierz program

SDFix

Dwuklik na

SDFix.exe następnie program wypakuje się na dysk systemowy (standardowo C:\SDFix)

Zrestartuj komputer i wejdź do

trybu awaryjnego (klawisz F8 przed bootem Windowsa)

Wejdź do folderu z

SDFix kliknij dwa razy na plik RunThis.bat

Wciśnij

Y nastąpi proces usuwania.

Kiedy usuwanie się ukończy wciśnij dowolny klawisz (Any Key). Nastąpi restart komputera.
Po restarcie

SDFix uruchomi się ponownie, żeby dokończyć proces usuwania kiedy pojawi się w oknie

programu

Finished, wciśnij dowolny klawisz do zakończenia scryptu i załadowania ikon na pulpicie.

Pokaż

Report.txt znajdujący się w folderze SDFix.

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/

Wysłany: 02.01.2008 (Śro) 17:28