Logfile of HijackThis v1.99.1
Scan saved at 14:31:35, on 2005-11-17
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\UGF3bGFr\command.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\windows\system32\mdms.exe
C:\WINDOWS\System32\paytime.exe
C:\WINDOWS\tool2.exe
C:\windows\adtech2005.exe
C:\Program Files\TGTSoft\StyleXP\StyleXP.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Dvl\Pulpit\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DrefIW] C:\WINDOWS\System32\SysDrefIWv2.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKLM\..\Run: [timessquare] C:\windows\timessquare.exe
O4 - HKLM\..\Run: [adtech2005] C:\windows\adtech2005.exe
O4 - HKLM\..\Run: [BHR3.5] C:\Program Files\Zamaan's Software\Browser Hijack Retaliator 3.5\BHR3.5.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [DrefIW] C:\WINDOWS\System32\SysDrefIWv2.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O8 - Extra context menu item: Download All by FlashGet - C:\PROGRA~1\FLASHGET\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\PROGRA~1\FLASHGET\jc_link.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O16 - DPF: Win32 Classes -
O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\drmsadsn.dll
O21 - SSODL: SysTray.Excn2 - {1722ECFF-4356-4f5b-B534-E67294FE75E9} - C:\WINDOWS\System32\djbojkjg.dll
O21 - SSODL: SysTray.Exsn - {2368D1FC-2F5C-4f1b-B124-E67214FC78E2} - C:\WINDOWS\System32\hpaobojd.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\UGF3bGFr\command.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe (file missing)
-
Wyłączyć Przywracanie systemu w XP TU
-
Zastartować do trybu awaryjnego bez internetu(opis w linku wyżej).
-
Zaznaczyć wskazane wpisy w Hijacku i kliknąć Fix checked. Wpisy zostaną usunięte.
-
Skasować z dysku pliki i foldery, które podkreśliłem na czerwono
-
Dokończyć skanerami online - Scanery do wyboru
-
Pokazać nowy log
023 - Start >>> Uruchom >>> services.msc >>> zatrzymaj i wyłącz
Command Service
Poczytaj jak usunąc SpySheriff
i url=[http://www.searchengines.pl/phpbb203/index.php?showtopic=12510&hl=mdms&st=30]](http://www.searchengines.pl/phpbb203/index.php?showtopic=12510&hl=mdms&st=30]) Usuwanie Trojan.Repsamo oraz Usuwanie VX2.BetterInternet
i daj log nr 1 z narzędzia L2Mfix
dzieki za pomoc to jest log z L2Mfix
USUWANIE:
Otwórz Notatnik i wklej w nim to:
Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG
Start do z Konsoli Odzyskiwania CD XP i komendy:
CD C:\WINDOWS\system32
ATTRIB -R-S-H akledit.dll
ATTRIB -R-S-H guard.tmp
ATTRIB -R-S-H drmsadsn.dll
ATTRIB -R-S-H lv6m09j1e.dll
ATTRIB -R-S-H v0209doe.dll
ATTRIB -R-S-H JCT.DLL
ATTRIB -R-S-H rgpwsx.dll
ATTRIB -R-S-H mmr2cenu.dll
ATTRIB -R-S-H rffsaps.dll
ATTRIB -R-S-H mt4sdmod.dll
ATTRIB -R-S-H ejsadu.dll
ATTRIB -R-S-H wspshell.dll
ATTRIB -R-S-H MWC30.DLL
ATTRIB -R-S-H nrwdmcpl.dll
ATTRIB -R-S-H wiiscmgr.dll
ATTRIB -R-S-H ooe2disp.dll
ATTRIB -R-S-H kvdgr1.dll
ATTRIB -R-S-H dlskadp.dll
ATTRIB -R-S-H dRvclnt.dll
ATTRIB -R-S-H DB3J.DLL
ATTRIB -R-S-H kcdtuf.dll
ATTRIB -R-S-H skprv.dll
ATTRIB -R-S-H mals31.dll
ATTRIB -R-S-H iRssam.dll
ATTRIB -R-S-H aamparse.dll
ATTRIB -R-S-H bDsesrv.dll
ATTRIB -R-S-H nzrseng.dll
ATTRIB -R-S-H wunrnr.dll
ATTRIB -R-S-H DXMSSOCN.DLL
ATTRIB -R-S-H nwmkcert.dll
ATTRIB -R-S-H ucnp.dll
ATTRIB -R-S-H mevcp50.dll
DEL akledit.dll
DEL guard.tmp
DEL drmsadsn.dll
DEL lv6m09j1e.dll
DEL v0209doe.dll
DEL JCT.DLL
DEL rgpwsx.dll
DEL mmr2cenu.dll
DEL rffsaps.dll
DEL mt4sdmod.dll
DEL ejsadu.dll
DEL wspshell.dll
DEL MWC30.DLL
DEL nrwdmcpl.dll
DEL wiiscmgr.dll
DEL ooe2disp.dll
DEL kvdgr1.dll
DEL dlskadp.dll
DEL dRvclnt.dll
DEL DB3J.DLL
DEL kcdtuf.dll
DEL skprv.dll
DEL mals31.dll
DEL iRssam.dll
DEL aamparse.dll
DEL bDsesrv.dll
DEL nzrseng.dll
DEL wunrnr.dll
DEL DXMSSOCN.DLL
DEL nwmkcert.dll
DEL ucnp.dll
DEL mevcp50.dll
EXIT
Przejście do trybu awaryjnego Windows i uruchomienie pliku FIX.REG. Dajesz mi nowego loga L2MFix robionego z opcji 1.
Hijack:
-
Wyłączyć Przywracanie systemu w XP TU
-
Zastartować do trybu awaryjnego bez internetu(opis w linku wyżej).
-
Zaznaczyć wskazane wpisy w Hijacku i kliknąć Fix checked. Wpisy zostaną usunięte.
-
Skasować z dysku pliki i foldery, które podkreśliłem na czerwono
-
Dokończyć skanerami online - Scanery do wyboru
-
Pokazać nowy log
\Użyj Usuwanie Trojan Repsamo