pl3ban
(Pl3ban)
26 Grudzień 2005 11:59
#1
Zlapalem SpySheriffa i nie moge sobie poradzic z usunieciem tego syfu… Podmienilo mi tapete i strone startowa IE. Przeczesalem system HijackThis i oto moj log:
Logfile of HijackThis v1.99.1
Scan saved at 12:48:36, on 2005-12-26
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\inet20009\services.exe
C:\Program Files\Winamp\Winampa.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\paytime.exe
C:\windows\adtech2006a.exe
C:\WINDOWS\System32\paytime.exe
C:\WINDOWS\System32\sywsvcs.exe
C:\WINDOWS\inet20009\mm4.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Programy\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F3 - REG:win.ini: run=C:\WINDOWS\inet20009\services.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKLM\..\Run: [timessquare] C:\windows\timessquare.exe
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20009\services.exe
O4 - HKLM\..\Run: [adtech2006] C:\windows\adtech2006a.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: [aupd] C:\WINDOWS\System32\sywsvcs.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20009\services.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: ING Bank Online - https://ssl.bsk.com.pl/bskonl/component/INGOnl.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nesunel.mht!http://adextension.com/ext1/lca.chm::/bridge-c18.cab
O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll
O20 - Winlogon Notify: Run - C:\WINDOWS\system32\lvl2093oe.dll
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Bardzo prosze o pomoc…
Gutek
(Gutek)
26 Grudzień 2005 12:07
#2
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html F3 - REG:win.ini: run=C:\WINDOWS\inet20009\services.exe O4 - HKLM…\Run: [PayTime] C:\WINDOWS\System32\paytime.exe O4 - HKLM…\Run: [timessquare] C:\windows\timessquare.exe O4 - HKLM…\Run: [xp_system] C:\WINDOWS\inet20009\services.exe O4 - HKLM…\Run: [adtech2006] C:\windows\adtech2006a.exe O4 - HKCU…\Run: [Windows installer] C:\winstall.exe O4 - HKCU…\Run: [PayTime] C:\WINDOWS\System32\paytime.exe O4 - HKCU…\Run: [aupd] C:\WINDOWS\System32\sywsvcs.exe O4 - HKCU…\Run: [xp_system] C:\WINDOWS\inet20009\services.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nesunel.mht!http://adextension.com/ext1/lca.chm::/bridge-c18.cab O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll
Wyłączyć Przywracanie systemu w XP TU
Zastartować do trybu awaryjnego bez internetu(opis w linku wyżej).
Zaznaczyć wskazane wpisy w Hijacku i kliknąć Fix checked. Wpisy zostaną usunięte. Dodatkowo O15 może będzie stawiać opór więc ściągnij KillTrusted 0.7
Skasować z dysku pliki i foldery, które podkreśliłem na czerwono
Dokończyć skanerami online - Scanery do wyboru
Pokazać nowy log
Zobacz Usuwanie tapety SpySheriff
zobacz Usuwanie VX2.BetterInternet i daj log nr 1 z narzędzia L2Mfix
Gutek
(Gutek)
27 Grudzień 2005 01:09
#3
Otwórz Notatnik i wklej w nim to:
Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG
Start do z Konsoli Odzyskiwania CD XP i komendy:
CD C:\WINDOWS\system32
ATTRIB -R-S-H guard.tmp
ATTRIB -R-S-H lvls0937e.dll
ATTRIB -R-S-H cpmaddin.dll
ATTRIB -R-S-H j6n2lg5o16.dll
ATTRIB -R-S-H dx32gt.dll
ATTRIB -R-S-H fppu0379e.dll
ATTRIB -R-S-H msupdate32.dll
ATTRIB -R-S-H pncrt.dll
ATTRIB -R-S-H pndx5016.dll
ATTRIB -R-S-H pndx5032.dll
ATTRIB -R-S-H rmoc3260.dll
ATTRIB -R-S-H child.dll
ATTRIB -R-S-H zlbw.dll
DEL guard.tmp
DEL lvls0937e.dll
DEL cpmaddin.dll
DEL j6n2lg5o16.dll
DEL dx32gt.dll
DEL fppu0379e.dll
DEL msupdate32.dll
DEL pncrt.dll
DEL pndx5016.dll
DEL pndx5032.dll
DEL rmoc3260.dll
DEL child.dll
DEL zlbw.dll
EXIT
Przejście do trybu awaryjnego Windows i uruchomienie pliku FIX.REG . Dajesz mi nowego loga L2MFix robionego z opcji 1.
pl3ban
(Pl3ban)
27 Grudzień 2005 10:17
#4
plikow zaznaczonych na czerwono nie mam w katalogu c:\windows\system32:
pozostale pliki usunalem bez problemu. w trybie awaryjnym uruchomilem fix.reg i przeczesalem L2Mfix. oto log:
L2MFIX find log 121605
Gutek
(Gutek)
27 Grudzień 2005 10:42
#5
Otwórz Notatnik i wklej w nim to:
Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG
Start do z Konsoli Odzyskiwania CD XP i komendy:
CD C:\WINDOWS\system32
ATTRIB -R-S-H gpp4l37q1.dll
ATTRIB -R-S-H giLshlpr.dll
ATTRIB -R-S-H gdn6801jue.dll
DEL gpp4l37q1.dll
DEL iLshlpr.dll
DEL dn6801jue.dll
EXIT
Przejście do trybu awaryjnego Windows i uruchomienie pliku FIX.REG . Dajesz mi nowego loga L2MFix robionego z opcji 1.
pl3ban
(Pl3ban)
27 Grudzień 2005 11:26
#6
w katalogu system32 mialem tylko 1 plik: gpp4l37q1.dll. zostal usuniety bez problemu. W trybie awaryjnym uruchomilem fix.reg i zrobilem skana L2Mfix. oto log:
L2MFIX find log 121605
Gutek
(Gutek)
27 Grudzień 2005 15:36
#7
Net ma być na zero!
Otwórz Notatnik i wklej w nim to:
Plik Zapisz jako Zmień rozszerzenie z TXT na Wszystkie pliki Zapisz pod nazwą FIX.REG
Start do z Konsoli Odzyskiwania CD XP i komendy:
CD C:\WINDOWS\system32
ATTRIB -R-S-H iiagehlp.dll
ATTRIB -R-S-H fplq0335e.dll
ATTRIB -R-S-H rqcss.dll
ATTRIB -R-S-H enp2l17o1.dll
DEL iiagehlp.dll
DEL fplq0335e.dll
DEL rqcss.dll
DEL enp2l17o1.dll
EXIT
Przejście do trybu awaryjnego Windows i uruchomienie pliku FIX.REG . Dajesz mi nowego loga L2MFix robionego z opcji 1.
pl3ban
(Pl3ban)
28 Grudzień 2005 14:32
#8
w system32 mialem tylko te pliki zaznaczone na czerwono:
jakto net ma byc na zero? wszystko robie przy WYŁĄCZONYM necie. tryb awaryjny bez obsługi sieci. oto log:
L2MFIX find log 121605
Gutek
(Gutek)
28 Grudzień 2005 17:53
#9
Masz odłaczyć net na zero!
Otwórz Notatnik i wklej w nim to:
Plik Zapisz jako Zmień rozszerzenie z TXT na Wszystkie pliki Zapisz pod nazwą FIX.REG
Start do z Konsoli Odzyskiwania CD XP i komendy:
CD C:\WINDOWS\system32
ATTRIB -R-S-H DhvX.dll
ATTRIB -R-S-H n2l80c3uef.dll
ATTRIB -R-S-H fplo0333e.dll
DEL DhvX.dll
DEL n2l80c3uef.dll
DEL fplo0333e.dll
EXIT
Przejście do trybu awaryjnego Windows i uruchomienie pliku FIX.REG . Dajesz mi nowego loga L2MFix robionego z opcji 1.
pl3ban
(Pl3ban)
29 Grudzień 2005 12:30
#10
w katalogu system32 nie bylo ani jednego pliku z tych ktore podales do skasowania. uruchomilem fix.reg i przeskanowalem L2Mfix:
L2MFIX find log 121605
Gutek
(Gutek)
29 Grudzień 2005 21:41
#11
Używasz konsoli??? Jak ręcznie usuwasz to dupa blada - nowy log z L2Mfix - ale zapóść opcję usuwania w tym temacie Usuwanie VX2.BetterInternet i jak zapodasz to wtedy nowy log nr 1
pl3ban
(Pl3ban)
30 Grudzień 2005 10:18
#12
Uzywam konsoli odzyskiwania. Bootuje system z CD i wybieram opcje naprawy systemu. Uruchamia sie konsola odzyskiwania, wybieram system, haslo administratora i zmieniam katalog na C:\windows\system32 a pozniej usuwam atrybuty tych plikow ktore podajesz i usuwam same pliki. problem w tym ze za kazdym razem usuwam tylko część tych plikow. nie wszystkie podane przez ciebie pliki są w system32. pozniej uruchamiam tryb awaryjny ( F8 ) i w tym trybie uruchamiam plik fix.reg zawierający to co piszesz. na koniec sprawdzam system L2Mfix’em i zapisuje loga. nie wiem czy to istotne ale mam WYŁĄCZONE przywracanie systemu na wszystkich dyskach. no i oczywiscie wszystkie te czynnosci wykonuje przy WYŁĄCZONYM kablu od neta. pozniej jak juz skoncze, uruchamiam system w normalnym trybie z netem, wchodze na forum i wklejam loga… sprawdze ta metode ktora podales…
Gutek
(Gutek)
30 Grudzień 2005 10:25
#13
Czekam na log ponieważ ciężko idzie uwalenie dziada, zób tak jak mówiłem