aholz
(aholz)
11 Listopad 2006 10:43
#1
Witam
Bardzo prosze o sprawdzenie loga. Wywala błąd aplikacji exe i zawiesza kompa
Logfile of HijackThis v1.99.1 Scan saved at 11:38:59, on 2006-11-11 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\ewido anti-spyware 4.0\guard.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe C:\PROGRA~1\NEOSTR~1\CnxMon.exe C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe C:\Program Files\Spamihilator\spamihilator.exe C:\Program Files\Adobe\Acrobat 5.0 CE\Distillr\AcroTray.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\drwtsn32.exe C:\WINDOWS\system32\drwtsn32.exe C:\Program Files\AutoConnect\AutoConnect.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\drwtsn32.exe C:\WINDOWS\explorer.exe D:\install\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL R3 - URLSearchHook: (no name) - {004D65A4-A833-DE93-47F2-F6CA9424E6CE} - (no file) R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: (no name) - {004D65A4-A833-DE93-47F2-F6CA9424E6CE} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Acrobat\ActiveX\AcroIEHelper.ocx O3 - Toolbar: (no name) - {44BE0690-5429-47f0-85BB-3FFD8020233E} - (no file) O4 - HKLM…\Run: [RemoteControl] “C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe” O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe O4 - HKLM…\Run: [speedTouch USB Diagnostics] “C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon O4 - HKLM…\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe O4 - HKLM…\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe O4 - HKLM…\Run: [CloneCDTray] “C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe” /s O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime O4 - HKCU…\Run: [Oasr] “C:\WINDOWS\SEMBLY~1\rundll32.exe” -vt yazb O4 - HKCU…\Run: [Ftpvfvk] C:\Documents and Settings\a\Moje dokumenty??stem\t?skmgr.exe O4 - HKCU…\Run: [spamihilator] “C:\Program Files\Spamihilator\spamihilator.exe” O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0 CE\Distillr\AcroTray.exe O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Broken Internet access because of LSP provider ‘xfire_lsp_10650.dll’ missing O15 - Trusted Zone: http://www.mks.com.pl O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} (MainControl Class) - http://mks.com.pl/skaner/SkanerOnline.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda … 2977197484 O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O17 - HKLM\System\CCS\Services\Tcpip…{B0E98196-7036-4DD2-835A-A4DC617E30DF}: NameServer = 194.204.152.34 217.98.63.164 O17 - HKLM\System\CS2\Services\Tcpip…{B0E98196-7036-4DD2-835A-A4DC617E30DF}: NameServer = 194.204.152.34 217.98.63.164 O18 - Filter: text/html - {994D478A-45D0-4DB4-AE77-288B1E346E99} - (no file) O20 - AppInit_DLLs: Runner.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
Bieniol
(Bbieniol)
11 Listopad 2006 10:48
#2
W trybie awaryjnym z wyłączonym przywracaniem systemu usuwasz (wpisy Hijackiem, pliki/foldery na czerwono ręcznie z dysku):
Ten wpis z kreseczką “_” usuniesz edytorem rejestru Registrar Lite
Uruchom edytor w pole Address wklej ścieżke
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks i kliknij Go poczym zostaniesz przeniesiony do tego klucza. Po prawej stronie będzie widoczny wpis _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} wszystkie inne wpisy z taką samą kreseczką także kasujesz i z prawokliku kasujesz wpisy.
Po zabiegach nowy log z Hijacka + log z Silent Runners
Bieniol
(Bbieniol)
11 Listopad 2006 12:06
#4
Otwórz notatnik i wklej w nim to:
Plik -> zapisz jako -> zmień rozszerzenie na wszystkie pliki -> zapisz pod nazwą FIX.REG
Odpal plik FIX.REG i potwierdź dodanie do rejestru i reset kompa
adam9870
(adam9870)
11 Listopad 2006 12:13
#6
Bieniol
(Bbieniol)
11 Listopad 2006 12:15
#8
Wejdź w dziennik zdarzeń:
Start --> uruchom --> eventvwr i sprawdź, czy nie masz błędów zaznaczonych kolorem czerwonym - jeżeli są to wrzuć ich screeny
Jak wstawić zrzut pulpitu?
aholz
(aholz)
11 Listopad 2006 12:23
#9
Bieniol
(Bbieniol)
11 Listopad 2006 12:29
#10
Wklej właściwości błędu Application Error
aholz
(aholz)
11 Listopad 2006 12:34
#11
Typ zdarzenia: Błąd
Źródło zdarzenia: Application Error
Kategoria zdarzenia: Brak
Identyfikator zdarzenia: 1000
Data: 2006-11-11
Godzina: 13:34:02
Użytkownik: Brak
Komputer: DUŻY
Opis:
Aplikacja powodująca błąd explorer.exe, wersja 6.0.2900.2180, moduł powodujący błąd unknown, wersja 0.0.0.0, adres błędu 0x00000000.
Aby znaleźć więcej informacji, zobacz http://go.microsoft.com/fwlink/events.asp w Centrum pomocy i obsługi technicznej.
Dane:
0000: 41 70 70 6c 69 63 61 74 Applicat
0008: 69 6f 6e 20 46 61 69 6c ion Fail
0010: 75 72 65 20 20 65 78 70 ure exp
0018: 6c 6f 72 65 72 2e 65 78 lorer.ex
0020: 65 20 36 2e 30 2e 32 39 e 6.0.29
0028: 30 30 2e 32 31 38 30 20 00.2180
0030: 69 6e 20 75 6e 6b 6e 6f in unkno
0038: 77 6e 20 30 2e 30 2e 30 wn 0.0.0
0040: 2e 30 20 61 74 20 6f 66 .0 at of
0048: 66 73 65 74 20 30 30 30 fset 000
0050: 30 30 30 30 30 0d 0a 00000…
Bieniol
(Bbieniol)
11 Listopad 2006 12:37
#12
Podmień plik: explorer.exe , czyli odpalasz Konsolę odzyskiwania i wpisujesz:
expand X:\i386\EXPLORER.EX_ C:\WINDOWS\explorer.exe
X: -> wpisujesz litere CDROM’u
adam9870
(adam9870)
11 Listopad 2006 14:45
#15
Proszę zastosować SmitFraudFix z opcji numer 2 w trybie awaryjnym.
Potem pokaż dwa logi z Gmer’a przy takich ustawieniach:
Zakładka Rootkit >>> Zaznaczone wszystko oprócz Pokaż wszystko >>> kliknij Szukaj >>> Czekaj cierpliwie aż skończy >>> Start, uruchom, notapad i klik na OK >>> Prawy klawisz, wklej >>> Plik >>> zapisz jako >>> zapisz.
Zakładka Rootkit >>> Zaznaczone tylko Usługi oraz Pokaż wszystko >>> kliknij Szukaj >>> Czekaj cierpliwie aż skończy >>> Start, uruchom, wpisz notapad i klik na OK >>> Prawy klawisz, wklej >>> Plik >>> zapisz jako >>> zapisz.
Pliki z logami umieść w jakimś serwisie hostingowym i daj do nich linki ponieważ bezpośrednio do posta się nie zmieszczą.
http://forum.dobreprogramy.pl/viewtopic.php?t=96929
Oraz log z Silenta oraz c:\rapport.txt (je wklej normalnie do posta)
Myszak
(Myszonus)
12 Listopad 2006 15:38
#17
Zrób kopię zapasową rejestru na wszelki wypadek.
Otwórz notatnik i wklej :
Plik --> zapisz jako --> zmień rozszerzenie z .txt na wszystkie pliki --> zapisz jako FIX.REG i uruchom w awaryjnym.
I napisz czy działa.
squeet
(squeet)
12 Listopad 2006 15:45
#18
aholz proszę obejmować wklejane logi tagami quote .
Poczytaj tu:
http://forum.dobreprogramy.pl/viewtopic.php?t=36654
Powyższe logi już “naprawiłem”, screeny schowałem i jest ok już.
Gutek
(Gutek)
12 Listopad 2006 18:07
#20
Użyj Smitrem - http://noahdfear.geekstogo.com/ Narzędzie należy rozpakować. Zastartować do trybu awaryjnego i uruchomić z rozpakowanego narzędzia plik RunThis.bat
Poczytaj też o CDAC11BA - http://www.searchengines.pl/phpbb203/in … opic=23775