Bardzo prosze sprawdzcie mi loga ;(

Dla specjalistów Bezpieczeństwo
#1 
Logfile of HijackThis v1.99.1

Scan saved at 14:31:35, on 2005-11-17

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\UGF3bGFr\command.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe

C:\Program Files\Media Access\MediaAccK.exe

C:\Program Files\Media Access\MediaAccess.exe

C:\windows\system32\mdms.exe

C:\WINDOWS\System32\paytime.exe

C:\WINDOWS\tool2.exe

C:\windows\adtech2005.exe

C:\Program Files\TGTSoft\StyleXP\StyleXP.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Dvl\Pulpit\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll

O4 - HKLM\..\Run: [internat.exe] internat.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [DrefIW] C:\WINDOWS\System32\SysDrefIWv2.exe

O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe

O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe

O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe

O4 - HKLM\..\Run: [timessquare] C:\windows\timessquare.exe

O4 - HKLM\..\Run: [adtech2005] C:\windows\adtech2005.exe

O4 - HKLM\..\Run: [BHR3.5] C:\Program Files\Zamaan's Software\Browser Hijack Retaliator 3.5\BHR3.5.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - HKCU\..\Run: [DrefIW] C:\WINDOWS\System32\SysDrefIWv2.exe

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O8 - Extra context menu item: Download All by FlashGet - C:\PROGRA~1\FLASHGET\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\PROGRA~1\FLASHGET\jc_link.htm

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe

O16 - DPF: Win32 Classes - 

O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\drmsadsn.dll

O21 - SSODL: SysTray.Excn2 - {1722ECFF-4356-4f5b-B534-E67294FE75E9} - C:\WINDOWS\System32\djbojkjg.dll

O21 - SSODL: SysTray.Exsn - {2368D1FC-2F5C-4f1b-B124-E67214FC78E2} - C:\WINDOWS\System32\hpaobojd.dll

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\UGF3bGFr\command.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe (file missing)
#2

  1. Wyłączyć Przywracanie systemu w XP TU

  2. Zastartować do trybu awaryjnego bez internetu(opis w linku wyżej).

  3. Zaznaczyć wskazane wpisy w Hijacku i kliknąć Fix checked. Wpisy zostaną usunięte.

  4. Skasować z dysku pliki i foldery, które podkreśliłem na czerwono

  5. Dokończyć skanerami online - Scanery do wyboru

  6. Pokazać nowy log :stuck_out_tongue:

023 - Start >>> Uruchom >>> services.msc >>> zatrzymaj i wyłącz

Command Service

Użyj CWS.Systime Removal 3.5

Poczytaj jak usunąc SpySheriff

i url=[http://www.searchengines.pl/phpbb203/index.php?showtopic=12510&hl=mdms&st=30]](http://www.searchengines.pl/phpbb203/index.php?showtopic=12510&hl=mdms&st=30]) Usuwanie Trojan.Repsamo oraz Usuwanie VX2.BetterInternet

i daj log nr 1 z narzędzia L2Mfix

#3

dzieki za pomoc to jest log z L2Mfix

#4

USUWANIE:

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG

Start do z Konsoli Odzyskiwania CD XP i komendy:

CD C:\WINDOWS\system32

ATTRIB -R-S-H akledit.dll

ATTRIB -R-S-H guard.tmp

ATTRIB -R-S-H drmsadsn.dll

ATTRIB -R-S-H lv6m09j1e.dll

ATTRIB -R-S-H v0209doe.dll

ATTRIB -R-S-H JCT.DLL

ATTRIB -R-S-H rgpwsx.dll

ATTRIB -R-S-H mmr2cenu.dll

ATTRIB -R-S-H rffsaps.dll

ATTRIB -R-S-H mt4sdmod.dll

ATTRIB -R-S-H ejsadu.dll

ATTRIB -R-S-H wspshell.dll

ATTRIB -R-S-H MWC30.DLL

ATTRIB -R-S-H nrwdmcpl.dll

ATTRIB -R-S-H wiiscmgr.dll

ATTRIB -R-S-H ooe2disp.dll

ATTRIB -R-S-H kvdgr1.dll

ATTRIB -R-S-H dlskadp.dll

ATTRIB -R-S-H dRvclnt.dll

ATTRIB -R-S-H DB3J.DLL

ATTRIB -R-S-H kcdtuf.dll

ATTRIB -R-S-H skprv.dll

ATTRIB -R-S-H mals31.dll

ATTRIB -R-S-H iRssam.dll

ATTRIB -R-S-H aamparse.dll

ATTRIB -R-S-H bDsesrv.dll

ATTRIB -R-S-H nzrseng.dll

ATTRIB -R-S-H wunrnr.dll

ATTRIB -R-S-H DXMSSOCN.DLL

ATTRIB -R-S-H nwmkcert.dll

ATTRIB -R-S-H ucnp.dll

ATTRIB -R-S-H mevcp50.dll

DEL akledit.dll

DEL guard.tmp

DEL drmsadsn.dll

DEL lv6m09j1e.dll

DEL v0209doe.dll

DEL JCT.DLL

DEL rgpwsx.dll

DEL mmr2cenu.dll

DEL rffsaps.dll

DEL mt4sdmod.dll

DEL ejsadu.dll

DEL wspshell.dll

DEL MWC30.DLL

DEL nrwdmcpl.dll

DEL wiiscmgr.dll

DEL ooe2disp.dll

DEL kvdgr1.dll

DEL dlskadp.dll

DEL dRvclnt.dll

DEL DB3J.DLL

DEL kcdtuf.dll

DEL skprv.dll

DEL mals31.dll

DEL iRssam.dll

DEL aamparse.dll

DEL bDsesrv.dll

DEL nzrseng.dll

DEL wunrnr.dll

DEL DXMSSOCN.DLL

DEL nwmkcert.dll

DEL ucnp.dll

DEL mevcp50.dll

EXIT

Przejście do trybu awaryjnego Windows i uruchomienie pliku FIX.REG. Dajesz mi nowego loga L2MFix robionego z opcji 1.

Hijack:

  1. Wyłączyć Przywracanie systemu w XP TU

  2. Zastartować do trybu awaryjnego bez internetu(opis w linku wyżej).

  3. Zaznaczyć wskazane wpisy w Hijacku i kliknąć Fix checked. Wpisy zostaną usunięte.

  4. Skasować z dysku pliki i foldery, które podkreśliłem na czerwono

  5. Dokończyć skanerami online - Scanery do wyboru

  6. Pokazać nowy log :stuck_out_tongue:

\Użyj Usuwanie Trojan Repsamo