» HijackThis

оформление шапки: Maz

От себя пять копеек добавлю. Программа исключительная, для удаления всяких скрытых програм-пакостников, которые подменяют стартовые страницы, выбрасывают ненужные попапы и т.п. Настоятельно рекомендуется к скачиванию!

Maz
Dr StandByфейс у неё английский.Вкрадце объясните что нужно настраивать(если нужно).И работу:нажал я скан,прога выдала столбец ключей и я ?????

Mavashi

Цитата:

и я

... получаешь длинный список, состоящий из:
списка автозагрузки
тулбаров для IE, netscape и opera.
строк контекстного меню и т.д.

а далее выделяешь те позиции, которые являются (кажутся тебе) вредоносными и жмешь fix cheked.


также программа позволяет еще многое чего.
удалять запущенные процессы, редактировать Hosts-файл
работать со списком инсталлированных программ
и т.д.

Цитата:

а далее выделяешь те позиции, которые являются (кажутся тебе) вредоносными и жмешь fix cheked.

Не,сам не выберу.Раз их прога нашла они мне все кажутся подозрительными.

Цитата:

также программа позволяет еще многое чего.
удалять запущенные процессы, редактировать Hosts-файл
работать со списком инсталлированных программ
и т.д.

Я понял что прога полезная,но без рус мануала не разберусь.
Можно ссылку где её рассмотрели подробнее.

Mavashi

Цитата:

Не,сам не выберу.Раз их прога нашла они мне все кажутся подозрительными

программа тебе показывает все элементы автозапуска, все установленные тулбары и т.д.

Цитата:

Можно ссылку где её рассмотрели подробнее

была одна тема, где при помощи нее лечили компьютер от проблем, но возможности программы там не разбирались.

поэтому совет - не уверен - лучше ее не используй.
если будут какие-либо проблемы с удалением всякой дряни - на форуме тебе всегда помогут

Я так понял, программа бесплатная? На оффсайте вроде нигде о стоимости ничего не нашел, но хотелось бы удостовериться перед установкой.

bredonosec
ага. абсолютно
там даже ничего устанавливать не надо. скачиваешь, распаковываешь и запускаешь

Цитата:

ага. абсолютно
там даже ничего устанавливать не надо. скачиваешь, распаковываешь и запускаешь

- Прекрасно.
Еще хотелось уточнить, в состав HijackThis входит только "Itty Bitty Process Manager (IBProcMan) ", или также остальные противоадварьные утилиты с сайта - "CWShredder", "BugOff ""ADS Spy", "Kill2Me", "StartupList" ?

bredonosec

Цитата:

Еще хотелось уточнить, в состав HijackThis входит только "Itty Bitty Process Manager (IBProcMan) ", или также остальные противоадварьные утилиты с сайта - "CWShredder", "BugOff ""ADS Spy", "Kill2Me", "StartupList" ?

в состав HijackThis входит HijackThis , Itty Bitty Process Manager , ADS Spy.
все остальные утилиты качать отдельно нужно.

вроде как так.

Спасибо, понял. Кста, она находила что-нить, пропущенное адаварей? Или спайботом?

bredonosec

Цитата:

Спасибо, понял. Кста, она находила что-нить, пропущенное адаварей? Или спайботом?

у меня - нет. чисто все. а вот одному форумчанину реально помогла
смотри тему about:blank

bredonosec

Цитата:

Кста, она находила что-нить, пропущенное адаварей? Или спайботом?

Осбеный шик этой проги заключатеся в том, что она видит не только запускаемый файлы программ (*.exe) но и связанные с ними dll? таким образом например, можно поудалять из автозагрузки с помощью AdAware и SpyBot все абсолютно стерильно, но при последующей перезагрузке все проблемы вернуться на место, вот в таких "запущенных" случаях (всплывающие из ниоткуда окна, порнуха и т.п.) и нужна HijackThis

Цитата:

она видит не только запускаемый файлы программ (*.exe) но и связанные с ними dll?

- И отключть отдельную дллку? Или только увидеть?
И можно ли определить, что означает каждая из них, или как в процесс эксплорере - только имена файлов?

bredonosec

Цитата:

- И отключть отдельную дллку? Или только увидеть?

и отключить.

Цитата:

И можно ли определить, что означает каждая из них, или как в процесс эксплорере - только имена файлов?

только имена файлов и их путь

Maz

Цитата:

и чего? удалять не пробовал?

ну конечноже пробовал, да только не получается. там лежат файлы SVCHOST.EXE, SECURITY.EXE и т.д.

я последовал твоему совету и скачал 'HijackThis'. и чего ж мне с ним делать?

Добавлено:
Maz


проверился. вот что говорит:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://daosearch.com/

но все равно не помогло.

Добавлено:
вот весь лог:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\Services\{17C03165-4758-41CB-B500-39161C5DF166}\SVCHOST.EXE
C:\Program Files\ICQLite\ICQLite.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Spybot-Search&Destroy\SpybotSD.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
c:\Program Files\Ad Muncher\AdMunch.exe
C:\Load\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://daosearch.com/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{17C03165-4758-41CB-B500-39161C5DF166}\SVCHOST.EXE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Disk Keeper] C:\WINDOWS\System32\Services\{17C03165-4758-41CB-B500-39161C5DF166}\SECURITY.EXE
O4 - HKLM\..\Run: [Ad Muncher] C:\Program Files\Ad Muncher\AdMunch.exe /bt
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.skymasters.biz
O15 - Trusted Zone: www.yeak.net
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O17 - HKLM\System\CCS\Services\Tcpip\..\{E7B4BB0B-0529-42B5-9D11-7A8DCC4159EE}: NameServer = 212.122.1.2 212.107.200.68

RXboy

Цитата:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://daosearch.com/

и что вот с этой строчкой сделал?

явно, что она некорректна или лишняя
поэтому в hijackthis в правом нижнем углу находишь кнопку config, и на закладке main в окне default start page пропиши ту домашнюю страницу, которая тебе необходима, например about:blank. это раз.
далее, на вкладке misk tools находишь кнопку open process manager, жмешь и выклыдываешь список запущенных процессов.
и третье. меня несколько смущают доверенные зоны:

Цитата:

O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.skymasters.biz
O15 - Trusted Zone: www.yeak.net

Цитата:

ну конечноже пробовал, да только не получается. там лежат файлы SVCHOST.EXE, SECURITY.EXE и т.д.

дело в том, что они должны лежать не в C:\WINDOWS\system32\services\, а в C:\WINDOWS\system32\.

Еще одна неплохая прога из темы поиска
spy, trojan & т.д.:

http://www.sysinternals.com/ntw2k/freeware/autoruns.shtml

От себя добавлю, что программа -- полный караул. Чтобы с ней работать, нужно *очень хорошо* знать, что она показывает. Я, например, думал что знаю, лишнего и подозрительного(непонятного) не удалял. И все равно, умудрился *так* обрушить систему, что помогла только полная переустановка.
Очень. Очень полезная программа, но требует к себе очень пиететного обращения.

almedic
что ты такого удалил, что система обрушилась?

almedic

Там есть бекап. Я с ней работал успешно, от какой то дряни в ИЕ избавился довольно легко.

Maz

masgak

Цитата:

Да и не качается из шапки HijackThis

Это временно их сервер недоступен.
Скачай, например отсюда: http://www.megalab.it/download/articoli/hijackthis/hijackthis.zip
Это первое.
Второе. Выкладывать в этой теме список твой не обязательно, т.к. он не имеет никакого отношения к сабжу.. Но если уж выложил, скрой под тэгом [no][more][/no], т.к. такие длинные листинги запрещены правилами. Когда я отсылал тебе в эту тему, то я предполагал, что ты выложишь здесь листинги, которые тебе представит сабж.

Maz

пардон,не так понял.
программу скачал, вот лог

Logfile of HijackThis v1.99.1
Scan saved at 15:05:32, on 02 воскресенье2 Октябрь 2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\oodag.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Program Files\Punto Switcher\ps.exe
C:\Documents and Settings\DONALD_HRUAK\Главное меню\Программы\Автозагрузка\cdslow.exe
C:\Program Files\Total Commander\Totalcmd.exe
C:\WINNT\system32\taskmgr.exe
C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
C:\Program Files\Arsenal Company\Сократ Персональный 4.1\spv.exe
C:\PROGRA~1\ARSENA~1\4024E~1.1\Spe.exe
C:\hijakthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: ICHlprObj Class - {1f0c8547-2639-4c91-b8aa-c7eca24c3163} - C:\PROGRA~1\ALADDI~1\INTERN~1\IC3hlpr.dll
O2 - BHO: PopupFilter Class - {1F2E844B-8211-46ff-8262-772F03295CF4} - C:\PROGRA~1\ALADDI~1\INTERN~1\PopFiltr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice
O4 - HKCU\..\Run: [AWMON] "C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe
O4 - Startup: cdslow.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Закачать все при помощи FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Закачать при помощи FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\shdocvw.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Browser Adjustment - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\PROGRA~1\Agnitum\OUTPOS~1\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: SmartWhois - {FD9DE2B4-C926-4460-81C4-FC58C6F1062E} - C:\PROGRA~1\SMARTW~1\swmsiehlp.exe
O9 - Extra button: (no name) - {FF983118-58C7-4AD4-B5A7-691C39CB7B42} - C:\PROGRA~1\SMARTW~1\swmsiehlp.exe
O9 - Extra 'Tools' menuitem: SmartWhois - {FF983118-58C7-4AD4-B5A7-691C39CB7B42} - C:\PROGRA~1\SMARTW~1\swmsiehlp.exe
O15 - Trusted Zone: http://forum.ru-board.com
O15 - Trusted Zone: www.forum.ru-board.com
O23 - Service: Управление приложениями (AppMgmt) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: DHCP-клиент (Dhcp) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Служба администрирования диспетчера логических дисков (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Диспетчер логических дисков (dmserver) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: DNS-клиент (Dnscache) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Служба факсов (Fax) - Корпорация Майкрософт - C:\WINNT\system32\faxsvc.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINNT\system32\mnmsrvc.exe
O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe
O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINNT\system32\oodag.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Агент политики IPSEC (PolicyAgent) - Корпорация Майкрософт - C:\WINNT\system32\lsass.exe
O23 - Service: Защищенное хранилище (ProtectedStorage) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Диспетчер учетных записей безопасности (SamSs) - Корпорация Майкрософт - C:\WINNT\system32\lsass.exe
O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Планировщик заданий (Schedule) - Корпорация Майкрософт - C:\WINNT\system32\MSTask.exe
O23 - Service: Служба RunAs (seclogon) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Оповещения и журналы производительности (SysmonLog) - Корпорация Майкрософт - C:\WINNT\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINNT\system32\tlntsvr.exe
O23 - Service: Клиент отслеживания изменившихся связей (TrkWks) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
O23 - Service: Служба времени Windows (W32Time) - Корпорация Майкрософт - C:\WINNT\System32\services.exe
O23 - Service: Инструментарий управления Windows (WinMgmt) - Корпорация Майкрософт - C:\WINNT\System32\WBEM\WinMgmt.exe
O23 - Service: Расширения драйвера оснастки управления Windows (Wmi) - Корпорация Майкрософт - C:\WINNT\system32\Services.exe

хм, либо я проглядел, либо у тебя нет ничего похожего на toptext

вот на этой странице удобно логи сверять
http://www.hijackthis.de/en
правда чуток о системе всётаки знать надо
так как сайт матерился что у меня mplayer.exe поставлено не там где надо
не все программы он знает к сожалению

первый пост поднят/приколочен.

Maz

я там вот эти данные выделил и нажал
FIX CHECKED,
O2 - BHO: ICHlprObj Class - {1f0c8547-2639-4c91-b8aa-c7eca24c3163} - C:\PROGRA~1\ALADDI~1\INTERN~1\IC3hlpr.dll
O2 - BHO: PopupFilter Class - {1F2E844B-8211-46ff-8262-772F03295CF4} - C:\PROGRA~1\ALADDI~1\INTERN~1\PopFiltr.dll

теперь там их в сабже нет,
но эта eZulla top text все равно появляется,в алладине.
может снести ее, Что посоветуешь?

masgak

Цитата:

я там вот эти данные выделил и нажал

ну это примочки твоего аладдина. Теоретически, они не должны быть шпионами А то получается маразм - сам шпионов засылаю, сам их нахожу А если это так - то сноси своего аладдина нафиг. Имхо, но я не доверяю этой программе. Возможно я ошибаюсь.
Дело в том, что подобные распространенные вещи как ezula toptext определяются всеми известными антиспайваре программами. Поэтому другие программы и ad-aware и ызнище должны были их найти. Но не находят по каким то причинам.
Hijack вообще не обладает никакими базами - она тупо сканирует возможные опасные участки типа области автозагрузки или расширений IE. НО она тоже в твоем случае ничего особенного не находит.
Поэтому решай сам. Единственно, что могу посоветовать - попробуй какую-нибудь другую программу, лечащую от шпионов. М.б. Microsoft AntiSpyware или 3-ю версиюю Outpost Firewall

Добавлено:
Да, может эта страница тебе поможет опредлить, есть ли у тебя на машине ezula или нет и удалить ее вручную.

Maz

Спасибо, попробую.