Log HijackThis - jak usunąć niebespieczny wpis?
oleksy009988 - 22 Kwi 2006 19:22
Logfile of HijackThis v1.99.1
Scan saved at 19:15:33, on 2006-04-22
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
G:\Panda\TPSrv.exe
G:\Panda\pavsrv51.exe
C:\WINDOWS\System32\svchost.exe
g:\panda\firewall\PNMSRV.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
G:\Panda\PavFnSvr.exe
C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
G:\Panda\AntiSpam\pskmssvc.exe
G:\Panda\PsImSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
G:\Panda\apvxdwin.exe
C:\WINDOWS\explorer.exe
G:\Panda\SRVLOAD.EXE
C:\WINDOWS\Mixer.exe
C:\Program Files\Jafar\Winamp\winampa.exe
G:\Panda\WebProxy.exe
C:\Program Files\Jafar\eMule\emule.exe
G:\Panda\AVENGINE.EXE
C:\WINDOWS\regedit.exe
C:\Program Files\Jafar\FireFox\firefox.exe
C:\Program Files\Jafar\Gadu-Gadu\gg.exe
C:\Program Files\Jafar\totalcmd\TOTALCMD.EXE
G:\--== programy ==--\--== Programy ==--\-- CD 12 --\HijackThis\HijackThis.exe
G:\Panda\psimreal.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://update.microsoft.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Jafar\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\JAFAR\FLASHGET\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\JAFAR\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Jafar\Winamp\winampa.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [UpConfgVer] "G:\Panda\UpgConf.exe" /v:7.05.07
O4 - HKLM\..\Run: [APVXDWIN] "G:\Panda\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "G:\Panda\Inicio.exe"
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\Jafar\eMule\emule.exe -AutoStart
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\Jafar\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - C:\Program Files\Jafar\FlashGet\jc_link.htm
O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - C:\Program Files\Jafar\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Jafar\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\JAFAR\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\JAFAR\FLASHGET\flashget.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MySql - Unknown owner - c:\usr/MYSQL/bin/mysqld.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - G:\Panda\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - G:\Panda\pavsrv51.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - G:\Panda\AntiSpam\pskmssvc.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - g:\panda\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - G:\Panda\PsImSvc.exe
O23 - Service: Thread Master (ThreadMaster) - Unknown owner - C:\WINDOWS\system32\ThreadMaster\ThreadMast.exe (file missing)
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - G:\Panda\TPSrv.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
Gdy daję Fix checked to nic to nie daje. Próbowałem ręcznie zmodyfikować wpis w rejestrze ale otrzymuję komunikat:
Nie można edytować Shell: błąd przy zapisie nowej zawartości wartości.
jaro_21 - 22 Kwi 2006 20:01
http://wirusy.antivirenkit.pl/pl/opis/Trojan-PSW.Win32.Agent.bu.html
w rejestrze usuń klucz
"Shell" = "ibm00001.exe"
w lokalizacji:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
możesz też wpisać msconfig w uruchom w zakładce uruchamianie odfajkować ten wpis
a poten restart i usuń z dysku pliki
ibm00003.dll,
ibm00001.exe,
ibm00004.dll
jannaszek - 22 Kwi 2006 20:05
bo usługa jest aktywna ,może w trybie awaryjnym spróbuj,lub zakończyć ten proces w manager,ze-wyłącz też przywracanie systemu
oleksy009988 - 22 Kwi 2006 20:48
Dziękuję jannaszek. Pomogło.
Zamykam