Detected SPYware! System error #384


(Pl3ban) #1

Zlapalem SpySheriffa i nie moge sobie poradzic z usunieciem tego syfu... Podmienilo mi tapete i strone startowa IE. Przeczesalem system HijackThis i oto moj log:

Logfile of HijackThis v1.99.1

Scan saved at 12:48:36, on 2005-12-26

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\inet20009\services.exe

C:\Program Files\Winamp\Winampa.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\WINDOWS\System32\paytime.exe

C:\windows\adtech2006a.exe

C:\WINDOWS\System32\paytime.exe

C:\WINDOWS\System32\sywsvcs.exe

C:\WINDOWS\inet20009\mm4.exe

C:\Program Files\Internet Explorer\iexplore.exe

D:\Programy\hijackthis\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F3 - REG:win.ini: run=C:\WINDOWS\inet20009\services.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe

O4 - HKLM\..\Run: [timessquare] C:\windows\timessquare.exe

O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20009\services.exe

O4 - HKLM\..\Run: [adtech2006] C:\windows\adtech2006a.exe

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe

O4 - HKCU\..\Run: [aupd] C:\WINDOWS\System32\sywsvcs.exe

O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20009\services.exe

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: ING Bank Online - https://ssl.bsk.com.pl/bskonl/component/INGOnl.cab

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nesunel.mht!http://adextension.com/ext1/lca.chm::/bridge-c18.cab

O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll

O20 - Winlogon Notify: Run - C:\WINDOWS\system32\lvl2093oe.dll

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Bardzo prosze o pomoc... :frowning:


(Gutek) #2

  1. Wyłączyć Przywracanie systemu w XP TU

  2. Zastartować do trybu awaryjnego bez internetu(opis w linku wyżej).

  3. Zaznaczyć wskazane wpisy w Hijacku i kliknąć Fix checked. Wpisy zostaną usunięte. Dodatkowo O15 może będzie stawiać opór więc ściągnij KillTrusted 0.7

  4. Skasować z dysku pliki i foldery, które podkreśliłem na czerwono

  5. Dokończyć skanerami online - Scanery do wyboru

  6. Pokazać nowy log :stuck_out_tongue:

Zobacz Usuwanie tapety SpySheriff

zobacz Usuwanie VX2.BetterInternet i daj log nr 1 z narzędzia L2Mfix


(Gutek) #3

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG

Start do z Konsoli Odzyskiwania CD XP i komendy:

CD C:\WINDOWS\system32

ATTRIB -R-S-H guard.tmp

ATTRIB -R-S-H lvls0937e.dll

ATTRIB -R-S-H cpmaddin.dll

ATTRIB -R-S-H j6n2lg5o16.dll

ATTRIB -R-S-H dx32gt.dll

ATTRIB -R-S-H fppu0379e.dll

ATTRIB -R-S-H msupdate32.dll

ATTRIB -R-S-H pncrt.dll

ATTRIB -R-S-H pndx5016.dll

ATTRIB -R-S-H pndx5032.dll

ATTRIB -R-S-H rmoc3260.dll

ATTRIB -R-S-H child.dll

ATTRIB -R-S-H zlbw.dll

DEL guard.tmp

DEL lvls0937e.dll

DEL cpmaddin.dll

DEL j6n2lg5o16.dll

DEL dx32gt.dll

DEL fppu0379e.dll

DEL msupdate32.dll

DEL pncrt.dll

DEL pndx5016.dll

DEL pndx5032.dll

DEL rmoc3260.dll

DEL child.dll

DEL zlbw.dll

EXIT

Przejście do trybu awaryjnego Windows i uruchomienie pliku FIX.REG. Dajesz mi nowego loga L2MFix robionego z opcji 1.


(Pl3ban) #4

plikow zaznaczonych na czerwono nie mam w katalogu c:\windows\system32:

pozostale pliki usunalem bez problemu. w trybie awaryjnym uruchomilem fix.reg i przeczesalem L2Mfix. oto log:

L2MFIX find log 121605

(Gutek) #5

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG

Start do z Konsoli Odzyskiwania CD XP i komendy:

CD C:\WINDOWS\system32

ATTRIB -R-S-H gpp4l37q1.dll

ATTRIB -R-S-H giLshlpr.dll

ATTRIB -R-S-H gdn6801jue.dll

DEL gpp4l37q1.dll

DEL iLshlpr.dll

DEL dn6801jue.dll

EXIT

Przejście do trybu awaryjnego Windows i uruchomienie pliku FIX.REG. Dajesz mi nowego loga L2MFix robionego z opcji 1.


(Pl3ban) #6

w katalogu system32 mialem tylko 1 plik: gpp4l37q1.dll. zostal usuniety bez problemu. W trybie awaryjnym uruchomilem fix.reg i zrobilem skana L2Mfix. oto log:

L2MFIX find log 121605

(Gutek) #7

Net ma być na zero! !!

Otwórz Notatnik i wklej w nim to:

Plik Zapisz jako Zmień rozszerzenie z TXT na Wszystkie pliki Zapisz pod nazwą FIX.REG

Start do z Konsoli Odzyskiwania CD XP i komendy:

CD C:\WINDOWS\system32

ATTRIB -R-S-H iiagehlp.dll

ATTRIB -R-S-H fplq0335e.dll

ATTRIB -R-S-H rqcss.dll

ATTRIB -R-S-H enp2l17o1.dll

DEL iiagehlp.dll

DEL fplq0335e.dll

DEL rqcss.dll

DEL enp2l17o1.dll

EXIT

Przejście do trybu awaryjnego Windows i uruchomienie pliku FIX.REG. Dajesz mi nowego loga L2MFix robionego z opcji 1.


(Pl3ban) #8

w system32 mialem tylko te pliki zaznaczone na czerwono:

jakto net ma byc na zero? wszystko robie przy WYŁĄCZONYM necie. tryb awaryjny bez obsługi sieci. oto log:

L2MFIX find log 121605

(Gutek) #9

Masz odłaczyć net na zero! !!

Otwórz Notatnik i wklej w nim to:

Plik Zapisz jako Zmień rozszerzenie z TXT na Wszystkie pliki Zapisz pod nazwą FIX.REG

Start do z Konsoli Odzyskiwania CD XP i komendy:

CD C:\WINDOWS\system32

ATTRIB -R-S-H DhvX.dll

ATTRIB -R-S-H n2l80c3uef.dll

ATTRIB -R-S-H fplo0333e.dll

DEL DhvX.dll

DEL n2l80c3uef.dll

DEL fplo0333e.dll

EXIT

Przejście do trybu awaryjnego Windows i uruchomienie pliku FIX.REG. Dajesz mi nowego loga L2MFix robionego z opcji 1.


(Pl3ban) #10

w katalogu system32 nie bylo ani jednego pliku z tych ktore podales do skasowania. uruchomilem fix.reg i przeskanowalem L2Mfix:

L2MFIX find log 121605

(Gutek) #11

Używasz konsoli?????? Jak ręcznie usuwasz to dupa blada - nowy log z L2Mfix - ale zapóść opcję usuwania w tym temacie Usuwanie VX2.BetterInternet i jak zapodasz to wtedy nowy log nr 1


(Pl3ban) #12

Uzywam konsoli odzyskiwania. Bootuje system z CD i wybieram opcje naprawy systemu. Uruchamia sie konsola odzyskiwania, wybieram system, haslo administratora i zmieniam katalog na C:\windows\system32 a pozniej usuwam atrybuty tych plikow ktore podajesz i usuwam same pliki. problem w tym ze za kazdym razem usuwam tylko część tych plikow. nie wszystkie podane przez ciebie pliki są w system32. pozniej uruchamiam tryb awaryjny ( F8 ) i w tym trybie uruchamiam plik fix.reg zawierający to co piszesz. na koniec sprawdzam system L2Mfix'em i zapisuje loga. nie wiem czy to istotne ale mam WYŁĄCZONE przywracanie systemu na wszystkich dyskach. no i oczywiscie wszystkie te czynnosci wykonuje przy WYŁĄCZONYM kablu od neta. pozniej jak juz skoncze, uruchamiam system w normalnym trybie z netem, wchodze na forum i wklejam loga... sprawdze ta metode ktora podales...


(Gutek) #13

Czekam na log ponieważ ciężko idzie uwalenie dziada, zób tak jak mówiłem :wink: