Ad-w-a-r-e.com :/ Wyskakujące okienko :(

maczqn · 24 Wrzesień 2006 06:46

Mam problem, wyżej wymieniona strona ciągle mi się otwiera, jest ich jeszcze kilka, ale ta przeważnie. Denerwuję mnie to bardzo, szczególnie jak w coś gram, to okno mi się minimalizuję .

Oto moje logi z hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 08:46:26, on 2006-09-24

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\WinFast\WFTVFM\WFWIZ.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\eHh4\command.exe

C:\Program Files\Spybot - S&D\TeaTimer.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Winamp\Winamp.exe

C:\PROGRA~1\MOZILL~2\FIREFOX.EXE

C:\Documents and Settings\User\Pulpit\hijackthis\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.onet.pl

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll

F2 - REG:system.ini: Shell=explorer.exe                                                                                                    

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - c:\program files\steganos internet anonym pro 7\siapro7iep.dll

O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFTVFM\WFWIZ.exe

O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\mouseElf.exe

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [DialerKiller] C:\Program Files\Dialer Killer\DialKill.exe -h

O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [BearShare] "C:\Program Files\BearShare\BearShare.exe" /pause

O4 - HKLM\..\Run: [SoftwareStation] "C:\Program Files\eAcceleration\Station\station.exe" /b Startup

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O4 - HKLM\..\Run: [rrxb1d37] RUNDLL32.EXE w004bc47.dll,n 004b1d330000000a004bc47

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Komunikator] "C:\Program Files\Tlen.pl\tlen.exe" --confdir=home

O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O4 - HKCU\..\Run: [dssec] C:\WINDOWS\system32\dssec.exe

O4 - HKCU\..\Run: [shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00003.exe"

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - S&D\TeaTimer.exe

O4 - HKCU\..\Run: [dpnaddr] C:\WINDOWS\system32\dpnaddr.exe

O4 - HKCU\..\Run: [SIAPRO7] "C:\Program Files\Steganos Internet Anonym Pro 7\SIAPRO7.exe" -boot

O4 - Startup: Budzik.lnk = C:\Program Files\Budzik\budzik.exe

O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_all.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=www.onet.pl

O20 - AppInit_DLLs: C:\WINDOWS\system32\wmfhotfix.dll

O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\wzavusd.dll

O20 - Winlogon Notify: Hints - C:\WINDOWS\system32\ktl6l73s1.dll (file missing)

O20 - Winlogon Notify: ShellServiceObjectDelayLoad - C:\WINDOWS\

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\eHh4\command.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: msvidc32.exe - Unknown owner - C:\WINDOWS\system32\msvidc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Bieniol · 24 Wrzesień 2006 07:23

Użyj narzędzia Look2Me-Destroyer

Start --> uruchom --> services.msc --> zatrzymaj i wyłącz usługe Command Service oraz msvidc32.exe

Otwórz hijackthis --> open misc tools section --> delete a NT service --> wpisz cmdService i ok

W trybie awaryjnym z wyłączonym przywracaniem systemu usuwasz (wpisy Hijackiem, pliki/foldery na czerwono ręcznie z dysku):

F2 - REG:system.ini: Shell=explorer.exe O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL O4 - HKLM…\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe O4 - HKLM…\Run: [rrxb1d37] RUNDLL32.EXE w004bc47.dll,n 004b1d330000000a004bc47 O4 - HKCU…\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe O4 - HKCU…\Run: [dssec] C:\WINDOWS\system32\dssec.exe O4 - HKCU…\Run: [shell] “C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00003.exe” O4 - HKCU…\Run: [dpnaddr] C:\WINDOWS\system32\dpnaddr.exe O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\wzavusd.dll O20 - Winlogon Notify: Hints - C:\WINDOWS\system32\ktl6l73s1.dll (file missing) O20 - Winlogon Notify: ShellServiceObjectDelayLoad - C:\WINDOWS\ O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\eHh4\command.exe O23 - Service: msvidc32.exe - Unknown owner - C:\WINDOWS\system32\msvidc32.exe

Po zabiegach nowy log z Hijacka + log z Silent Runners + KONIECZNIE log z l2mfix (wybierasz opcje 1)

maczqn · 24 Wrzesień 2006 08:02

Command Service i msvidc32.exe- nie idzie wyłączyć

azavusd.dll- w użyciu przez inny program

C:\WINDOWS\eHh4- katalog nie istnieje (?)

Bieniol · 24 Wrzesień 2006 08:07

Zrób wszystko inne i daj nowe logi bo przede wszystkim najpierw trzeba pozbyć się VX2

Gutek · 24 Wrzesień 2006 08:19

Uwaga: Jak wklejasz loga to obejmuj go znacznikiem (tagiem) CODE lub QUOTE - POPRAW

Bieniol · 24 Wrzesień 2006 09:19

Uruchamiasz narzędzie KillBox, zaznaczasz Delete on reboot i All Files , w polu full path of file wklej ścieżkę:

C:\WINDOWS\system32\msvidc32.exe

C:\WINDOWS\system32\psrfos.dll

C:\WINDOWS\system32\o4nsle571h.dll

C:\WINDOWS\system32\lt2027fmg.dll

C:\WINDOWS\system32\atmtd.dll

C:\WINDOWS\system32\fpns0357e.dll

Klikasz X i restart kompa

Otwórz notatnik i wklej w nim to:

Plik --> zapisz jako --> zmień rozszerzenie na wszystkie pliki --> zapisz pod nazwą FIX.REG

Odpal plik FIX.REG i potwierdź dodanie do rejestru i reset kompa

Start --> uruchom --> services.msc --> zatrzymaj i wyłącz usługe Command Service oraz msvidc32.exe

Otwórz hijackthis --> open misc tools section --> delete a NT service --> wpisz cmdService i ok

Usuwasz Hijackiem wpisy + folder:

Po zabiegach jeszcze raz 3 logi

Bieniol · 24 Wrzesień 2006 10:36

Jeszcze nie koniec

Otwórz notatnik i wklej w nim to:

Plik --> zapisz jako --> zmień rozszerzenie na wszystkie pliki --> zapisz pod nazwą FIX.BAT

W trybie awaryjnym odpal plik FIX.BAT

I nowe logi

Bieniol · 24 Wrzesień 2006 19:34

Czysto

Kosmetycznie: Otwórz edytor rejestru Start >>> Uruchom >>> regedit i przejdź do klucza HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager

Tam kliknij podwójnie na wartość BootExecute i z okienka usuń wszystko z wyjątkiem autocheck autochk *

maczqn · 24 Wrzesień 2006 19:43

Nareszcie koniec! Wielkie dzięki za pomoc! Doceniam to :-).

Acha, jeszcze jedno, nie mogę znaleść czegoś takiego jak boot execute

:?

Bieniol · 24 Wrzesień 2006 20:02

Otwórz notatnik i wklej w nim to:

Plik --> zapisz jako --> zmień rozszerzenie na wszystkie pliki --> zapisz pod nazwą FIX.REG

Odpal plik FIX.REG i potwierdź dodanie do rejestru i reset kompa

system · 24 Wrzesień 2006 20:44

Proponuję również odinstlować program eAcceleration - jest to naprwdę program bardzo wątpliwej renomy.

W końcu masz dobrego antivira Kasperskiego, to po co drugi antivir?

maczqn · 25 Wrzesień 2006 18:32

Właśnie, nie mogę tego usunąć :(, nie wiadomo skąd to się wzięło . Może poradzicie mi co mam z tym zrobić? Byłbym bardzo wdzięczny.

Bieniol · 25 Wrzesień 2006 19:01

Panel Sterowania --> Dodaj usuń programy --> usuń eAcceleration (SoftwareStation)

Następnie usuwasz Hijackiem wpis + folder: