Bardzo dziwny problem z instalacja XP

no13 · 12 Marzec 2006 23:52

W domu mam lacze adsl z dialogu, podlaczone ono bylo pod komputer brata ktory dzielil to dsl na pozostale komputery w domu - wbudowana opcja udostepnianie internetu. Dzisiaj rano brat zrobil formata na swoim komputerze (partycje c) i zainstalowal Windows XP - po instalacji, po wpisaniu danych adsl dialogu samoczynnie zainstalowaly mu sie smieci od reklam, wyszukiwarek (wiadomo o co chodzi). Pomyslalem ze moze gdzies wlazl, wzialem wyjalem od jego komputera sieciowke i zainstalowalem to dsl na swoim komputerze, smieci automatycznie tez sie pojawily. Sieciowka to zwykly realtek do tego dochodzilo zamykanie po 60sek w stylu blastera. Zrobilem formata, smieci zainstalowaly sie zupelnie tak samo jak wczesniej, nic przed tym nie instalowalem na goly windows jeszcze bez sterownikow tylko na wykrytych sieciowkach. Na obecna chwile zrobilem na swoim kompie 5-6 formatow - problem nadal jest taki sam. Dodam ze probowalem tez zainstalowac Windows 2003 - TO SAMO. Pomyslalem ze moze na innych partycjach jest jakis smiec, ale wzialem jakis dysk 20GB i caly sformatowalem, usunalem partycje, utworzylem jedna nowa itd. Problem jest nadal. Spotkal sie ktos z czyms takim? ja juz nie wiem co mam robic. Napisze jeszcze ze kombinowalem tez ze najpierw zainstaluje antiwirusa, firewalla a dopiero pozniej podlacze internet - nic to nie dalo bo i tak sie te smieci instalowaly. W tym czasie jak pisalem tego posta wyskoczylo kilka okienek z reklamami.

Wyglada to tak: http://img387.imageshack.us/img387/171/aaa2it.jpg

Logfile of HijackThis v1.99.1

Scan saved at 00:54:03, on 2006-03-13

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\ZXd3\command.exe

C:\Program Files\Network Monitor\netmon.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\win32ssr.exe

c:\mousepad1.exe

C:\WINDOWS\system32\rundll32.exe

C:\Documents and Settings\dsad\Pulpit\hijackthis\HijackThis.exe


O4 - HKLM\..\Run: [wlib32] rundll32.exe C:\WINDOWS\System32\wlib32.dll,start

O4 - HKLM\..\Run: [gimmysmileys] c:\\gimmysmileys1.exe

O4 - HKLM\..\Run: [mousepad] c:\\mousepad1.exe

O4 - HKLM\..\Run: [keyboard] c:\\keyboard1.exe

O4 - HKLM\..\RunServices: [MS Domain Name Server Deamon] MSDNSD32.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

O17 - HKLM\System\CCS\Services\Tcpip\..\{E14D7060-C6F8-42FE-8ADE-BA4B8C899C61}: NameServer = 217.30.129.149,217.30.137.200

O20 - Winlogon Notify: ddayw - C:\WINDOWS\SYSTEM32\ddayw.dll

O20 - Winlogon Notify: MediaContentIndex - C:\WINDOWS\system32\j8n2li5o18.dll

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\ZXd3\command.exe

O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe

O23 - Service: Performance True Type Font (PerfFont) - Unknown owner - C:\WINDOWS\System32\perfont.exe

O23 - Service: Win32Sr - Unknown owner - C:\WINDOWS\win32ssr.exe

kuz5 · 12 Marzec 2006 23:56

No jest syf

Wklej loga HijackThis

Update:

Usuń: (wszystko oczywiście robisz w trybie awaryjnym z wyłączonym przywracaniem systemu)

Start => Uruchom => wpisz services.msc => zatrzymaj i wyłącz usługi Command Service, Network Monitor, Performance True Type Font i Win32Sr następnie odpalasz HijackThis Misc Tools => Delete NT service => wpisz pojedyńczo cmdService i PerfFont => Ok i zresetuj komputer

Pliki na czerwono usun ręcznie z dysku

Jeżeli wpis 015 będzie stawiać opór to usuń go narzędziem KillTrusted 0.7

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jezeli któryś z nich bedzie na żółto to go zostaw)

Użyj Look2Me-Destroyer a następnie daj log nr 1 z narzedzia L2Mfix

no13 · 13 Marzec 2006 00:38

InfinityToJa · 13 Marzec 2006 10:39

Otwórz notatnik i wklej w nim to:

Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ddayw] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Group Policy] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] “{75A3950F-0B1C-2B98-4E16-B69C6ECD31E6}”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] “{1B02E7DE-D6FE-47CE-A27F-E98DA3F760E3}”=- “{F70B0885-528E-4536-91AE-8757850548C4}”=- “{0C9C3DFF-44A0-43F6-B84C-0FE6188D50C3}”=- “{EF309DF6-5227-492A-B116-3BBCB0175866}”=- “{AA4B1540-61C7-42D1-9E22-36CEF2F972C8}”=- “{F8DECD0D-16D4-4C4F-B6E5-2C5861D4F007}”=- [-HKEY_CLASSES_ROOT\CLSID{1B02E7DE-D6FE-47CE-A27F-E98DA3F760E3}] [-HKEY_CLASSES_ROOT\CLSID{F70B0885-528E-4536-91AE-8757850548C4}] [-HKEY_CLASSES_ROOT\CLSID{0C9C3DFF-44A0-43F6-B84C-0FE6188D50C3}] [-HKEY_CLASSES_ROOT\CLSID{EF309DF6-5227-492A-B116-3BBCB0175866}] [-HKEY_CLASSES_ROOT\CLSID{AA4B1540-61C7-42D1-9E22-36CEF2F972C8}] [-HKEY_CLASSES_ROOT\CLSID{F8DECD0D-16D4-4C4F-B6E5-2C5861D4F007}]

Plik>>>zapisz jako>>>zmień rozszerzenie z .txt na wszystkie pliki|>>>zapisz pod nazwą FIX.REG

Zastartuj do Konsoli odzyskiwania CD XP i wpisz komendy:

CD C:\WINDOWS\system32

ATTRIB -R-S-H ddayw.dll

ATTRIB -R-S-H mv4ml9h11.dll

ATTRIB -R-S-H cGtsrvps.dll

ATTRIB -R-S-H wpn87em.dll

ATTRIB -R-S-H dround.dll

ATTRIB -R-S-H mptrig.dll

ATTRIB -R-S-H wdadmoe.dll

ATTRIB -R-S-H wgwfax.dll

ATTRIB -R-S-H atmtd.dll

ATTRIB -R-S-H wlib32.dll

ATTRIB -R-S-H awicap.dll

ATTRIB -R-S-H mptrig.dll

ATTRIB -R-S-H hqghumea.dll

DEL ddayw.dll

DEL mv4ml9h11.dll

DEL cGtsrvps.dll

DEL wpn87em.dll

DEL dround.dll

DEL mptrig.dll

DEL wdadmoe.dll

DEL wgwfax.dll

DEL atmtd.dll

DEL wlib32.dll

DEL awicap.dll

DEL mptrig.dll

DEL hqghumea.dll

DEL guard.tmp

DEL MSDNSD32.exe

EXIT

W trybie awaryjnym odpalasz FIX.REG

Powracasz z nowym logiem l2mfix

Gutek · 13 Marzec 2006 15:59

InfinityToJa przeciez on nie użył Look2Me-Destroyer.exe