Net muli - prośba o sprawdzenie loga


(Andrut14) #1

Witam. Mam problem z działaniem internetu. Od trzech dni przez jakiś czas po włączeniu neta strony ładują się bardzo powoli, a aktywność Neostrady jest bardzo mała. Po jakimś czasi wszystko ustaje, i nie wiedząc czemu po problemie jest, kiedy system informuje mnie, że wystąpiły problemy z aplikacją services.exe i zostanie ona zamknięta. Oto log z Hijackthis:


(Myszonus) #2

Otwórz notatnik i wklej :

Plik --> zapisz jako --> zmień rozszerzenie z .txt na wszystkie pliki --> zapisz jako FIX.REG i uruchom w awaryjnym.

Start --> uruchom --> services.msc --> zatrzymaj i wyłącz usługę Command Service, Network Monitor

  1. Startujesz do trybu awaryjnego i wyłączasz przywracanie systemu.

  2. Pliki/foldery na czerwono ręcznie z dysku.

  3. Wpisy skasuj Hijackiem.

  4. Daj log z Silent Runners – tu masz opis.

Zastosuj narzędzie Look2Me-Destroyer(ściągnij i włącz w trybie awaryjnym), po użyciu tego narzędzia daj log z L2MFix (instalujesz --> odpalasz --> wybierasz opcje tworzenia loga (nr 1).


(Andrut14) #3

Sorry, ale mam otowrzyć notatnik z logiem czy stworzyć nowy dokument tekstowy? :oops:


(Myszonus) #4

Start --> Wszystkie programy --> Akcesoria --> Notatnik.

:slight_smile:


(Gblade) #5

robale=stosować wwdc

Ściągnij Windows Woorms Door Cleaner, odpal>>>zmień wszystkie znaczki z disable na enable>>>po użyciu narzedzia wymagany jest reset kompa.

alternatywa start>>>uruchom>>>notepad

to nie jest vx2,

ale to już tak

Czyli po zabiegach wklejasz logi hijackthis + silent runners + l2mfix


(Andrut14) #6

To aj już nie wiem do kogo mam się stosować. Odpaliłem w awaryjnym, wyłączyłem Network Monitor i Command Service, ale już plików, które mam usunąć ręcznie, za cholrę znaleźć nie mogę, nawet opcja Wyszukaj nie pomaga. A to WWDC nie mam pojęcia jak używać. Może jest na forum jakiś poradnik, bo ciągle dostaję jakieś angielskie komunikaty, jak kliknąłem na Enable, zrobiło się szare (nie można było kliknąć) wyskoczl komunkat i kompsię uruchomił ponownie :lol: Wylumaczcie mi proszę :stuck_out_tongue:


(adam9870) #7

Zobacz co napisał Myszak. I co poprawił po nim InfinityToJa ;]

Poszukaj ręcznie. Tam gdzie ścieżek podanych nie ma to zapewne są w c:/windows/system32 lub c:/windows.

A masz włączone pokazywanie ukrytych plików i folderów? Aby włączyć pokazywanie ukrytych wejdź do Mój komputer>>Narzędzia>>Opcje folderów>>Zakładka Widok>>Zaznacz opcję "Pokaż ukryte pliki i foldery". Potem tylko potweirdź klikając na OK.

Zajrzyj:

http://forum.dobreprogramy.pl/viewtopic.php?t=81688


(Andrut14) #8

Jak włączam wyskakuje teraz takie coś:

"Error while calling GetTcpTable API with the lenght required. The program so cannot see what ports are opened and closed, and will so only rely on the rigistry to check what services are enabled on your system."

Po włączeniu wygląda to tak:

skrinyj3.png


(adam9870) #9

Ten komuikat co pojawił się oznacza chyba, że porty masz nie pozamykane :?

Możesz kliknąć przy źółtych wykrzyczniczkach na button co jest obok i potem zamknij program i będzie Cię pytać o restart (oczywiście zgadzasz się)


(Andrut14) #10

Teraz wygląda to tak (nie do końca buttony z czerownym krzyżykiem są już szare po kliknięciu i zaakceptowaniu), mam coś jeszcze zmienić?

scrin2fm4.png


(adam9870) #11

Kliknij koniecznie na buttny na których pisze:

  • Close 445

  • Close Messenger

Ewentualnie możesz:

  • Close 137:139

  • Enable UPNP

Potem program poprosi o restart to robisz.


(Andrut14) #12

Kliknąłem już wcześniej, zrobiły się szare, a program o restart mnie nie porposił :?

Oto teraz włączam, i wygląda to tak:

Enable DCOM (zielone, ok)

Enable LOCATOR (żółte)

Enable NetBIOS (zielone, ok)

Enable UPNP (żółte)

Enable MSG (żółte)

Zabieram się do usuwania tymczasem

Złączono Posta : 25.07.2006 (Wto) 15:42

Oto najnowszy log z Silent Runner

Startup items buried in registry:


HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"Microsoft Windows Explorer" = "iexplorier.exe" [file not found]

"Norton SystemWorks" = ""C:\Program Files\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz" [file not found]

"Gadu-Gadu" = ""C:\Program Files\Gadu-Gadu\gg.exe" /tray" ["sms-express.com"]

"WinMedia" = "C:\Documents3072.exe" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"SiSUSBRG" = "C:\WINDOWS\SiSUSBrg.exe" ["Silicon Integrated Systems Corp."]

"Cmaudio" = "RunDll32 cmicnfg.dll,CMICtrlWnd" [MS]

"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]

"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]

"WooCnxMon" = "C:\PROGRA~1\NEOSTR~1\CnxMon.exe" [empty string]

"SpeedTouch USB Diagnostics" = ""C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon" ["THOMSON Telecom Belgium"]

"WOOWATCH" = "C:\PROGRA~1\NEOSTR~1\Watch.exe" ["France Télécom R&D"]

"WOOTASKBARICON" = "C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe" ["France Télécom R&D"]

"SunJavaUpdateSched" = "C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]

"winsysupd" = "C:\windows\winsysupd.exe" [file not found]

"winsysban" = "C:\windows\winsysban.exe" [file not found]

"LVCOMSX" = "C:\WINDOWS\System32\LVCOMSX.EXE" ["Labtec Inc."]

"LogitechVideoRepair" = "C:\Program Files\Logitech\Video\ISStart.exe " ["Labtec Inc."]

"LogitechVideoTray" = "C:\Program Files\Logitech\Video\LogiTray.exe" ["Labtec Inc."]

"msconfig38" = "mssvcc.exe" [null data]

"secures23" = "lup.exe" [null data]

"YUpdate" = "C:\WINDOWS\system32\ymm.exe" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"

-> {HKLM...CLSID} = "HyperTerminal Icon Ext"

\InProcServer32(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]

"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Eksplorator pulpitów"

-> {HKLM...CLSID} = "Eksplorator pulpitów"

\InProcServer32(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]

"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"

-> {HKLM...CLSID} = (no title provided)

\InProcServer32(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]

"{4DF846A5-7DD5-4D93-AF2A-A90D52CF951D}" = (no title provided)

-> {HKLM...CLSID} = (no title provided)

\InProcServer32(Default) = "C:\WINDOWS\system32\misnap.dll" [file not found]

"{D11FFEE3-EC87-4D6F-9435-4D213566279F}" = (no title provided)

-> {HKLM...CLSID} = (no title provided)

\InProcServer32(Default) = "C:\WINDOWS\system32\mvxclu.dll" [null data]

"{157CCAE1-7DED-448E-A0AA-DF261846D1EF}" = (no title provided)

-> {HKLM...CLSID} = (no title provided)

\InProcServer32(Default) = "C:\WINDOWS\system32\ijaksie.dll" [null data]

"{9D891C3D-DE63-4511-8D94-91D2754E3608}" = (no title provided)

-> {HKLM...CLSID} = (no title provided)

\InProcServer32(Default) = "C:\WINDOWS\system32\wcbhits.dll" [null data]

"{FC8491BD-00B7-4232-95C9-58D6AD425A16}" = (no title provided)

-> {HKLM...CLSID} = (no title provided)

\InProcServer32(Default) = "C:\WINDOWS\system32\jrproxy.dll" [null data]

"{C140A532-B295-4B21-9A46-5178CFBE064E}" = (no title provided)

-> {HKLM...CLSID} = (no title provided)

\InProcServer32(Default) = "C:\WINDOWS\system32\mwicda.dll" [null data]

"{C8930943-0FFE-4CF9-B337-24D679CCE31B}" = (no title provided)

-> {HKLM...CLSID} = (no title provided)

\InProcServer32(Default) = "C:\WINDOWS\system32\clcfg32.dll" [null data]

"{20AA76A4-4825-49BD-8220-8F1A93DD8B55}" = (no title provided)

-> {HKLM...CLSID} = (no title provided)

\InProcServer32(Default) = "C:\WINDOWS\system32\cmmaddin.dll" [null data]

"{B1E5D4EA-9DA4-45CE-966F-E8EF91AEB857}" = (no title provided)

-> {HKLM...CLSID} = (no title provided)

\InProcServer32(Default) = "C:\WINDOWS\system32\cdusapi.dll" [null data]

"{0E6E1C3D-78AD-4654-8031-59AC09526F5C}" = (no title provided)

-> {HKLM...CLSID} = (no title provided)

\InProcServer32(Default) = "C:\WINDOWS\system32\itetcomm.dll" [null data]

"{2C608AA4-37FA-40A7-B959-E8AF1CCE4DF0}" = (no title provided)

-> {HKLM...CLSID} = (no title provided)

\InProcServer32(Default) = "C:\WINDOWS\system32\myl_hp.dll" [null data]

"{BBC54768-3441-4BFE-95C9-790B37B4FFCB}" = (no title provided)

-> {HKLM...CLSID} = (no title provided)

\InProcServer32(Default) = "C:\WINDOWS\system32\mvvbvm60.dll" [null data]

"{522C0CFA-3109-4829-8C95-902878291EE7}" = (no title provided)

-> {HKLM...CLSID} = (no title provided)

\InProcServer32(Default) = "C:\WINDOWS\system32\nfwrsde.dll" [null data]

"{E038758E-24CB-410C-83EF-B69C5F2EC4A5}" = (no title provided)

-> {HKLM...CLSID} = (no title provided)

\InProcServer32(Default) = "C:\WINDOWS\system32\dqvoice.dll" [null data]

"{F2373C83-AF9D-4FE8-919F-921E53D39267}" = (no title provided)

-> {HKLM...CLSID} = (no title provided)

\InProcServer32(Default) = "C:\WINDOWS\system32\mxvbvm50.dll" [null data]

"{9D0F1115-6E70-424F-93A2-E38DA102BAEB}" = (no title provided)

-> {HKLM...CLSID} = (no title provided)

\InProcServer32(Default) = "C:\WINDOWS\system32\mktlsapi.dll" [null data]

"{36E5BF26-615C-42C5-AB96-AEAB02855DD7}" = (no title provided)

-> {HKLM...CLSID} = (no title provided)

\InProcServer32(Default) = "C:\WINDOWS\system32\swesrv.dll" [null data]

"{E712F2D9-CD31-4E93-B89E-DF88E86C2876}" = (no title provided)

-> {HKLM...CLSID} = (no title provided)

\InProcServer32(Default) = "C:\WINDOWS\system32\gfmf32.dll" [null data]

"{00869309-D87D-4AD4-8A50-D5007B13CD3C}" = (no title provided)

-> {HKLM...CLSID} = (no title provided)

\InProcServer32(Default) = "C:\WINDOWS\system32\ovbcji32.dll" [null data]

"{400CFEE2-39D0-46DC-96DF-E0BB5A4324B3}" = "My Labtec Pictures"

-> {HKLM...CLSID} = "My Labtec Pictures"

\InProcServer32(Default) = "C:\Program Files\Logitech\Video\Namespc2.dll" ["Labtec Inc."]

"{DB933A9E-114F-4D3D-A7CA-C52957675D4B}" = (no title provided)

-> {HKLM...CLSID} = (no title provided)

\InProcServer32(Default) = "C:\WINDOWS\system32\jkcript.dll" [null data]

"{04A7E83C-FEC0-4E39-9529-03DCDBB9249C}" = (no title provided)

-> {HKLM...CLSID} = (no title provided)

\InProcServer32(Default) = "C:\WINDOWS\system32\sxndmail.dll" [null data]

"{F31B1428-8685-49EC-B084-D54074984F88}" = (no title provided)

-> {HKLM...CLSID} = (no title provided)

\InProcServer32(Default) = "C:\WINDOWS\system32\ouesvr32.dll" [null data]

"{DCA5E360-5AA6-4C9D-8A6F-BDC1F85F8F1B}" = (no title provided)

-> {HKLM...CLSID} = (no title provided)

\InProcServer32(Default) = "C:\WINDOWS\system32\izuv_32.dll" [null data]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

-> {HKLM...CLSID} = "WinRAR"

\InProcServer32(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

INFECTION WARNING! "Userinit" = ""main6.exe" - -" [** WMI GetObject error **], [file not found], [file not found]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

INFECTION WARNING! OptimalLayout\DLLName = "C:\WINDOWS\system32\n66qlgj516o.dll" [file not found]

INFECTION WARNING! xtldr32\DLLName = "xtldr32.dll" [null data]

HKLM\Software\Classes*\shellex\ContextMenuHandlers\

WinRAR(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {HKLM...CLSID} = "WinRAR"

\InProcServer32(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\

WinRAR(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {HKLM...CLSID} = "WinRAR"

\InProcServer32(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\

WinRAR(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {HKLM...CLSID} = "WinRAR"

\InProcServer32(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

Active Desktop and Wallpaper:


Active Desktop is disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\

"Wallpaper" = "C:\Documents and Settings\maciej\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp"

Startup items in "maciej" & "All Users" startup folders:


C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\Autostart

"Digimax Viewer 2.1" -> shortcut to: "C:\Program Files\Samsung\Digimax Viewer 2.1\STImgBrowser.exe /s" ["STOIK Imaging (http://www.stoik.com)"]

Winsock2 Service Provider DLLs:


Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:


Explorer Bars

Dormant Explorer Bars in "View, Explorer Bar" menu

HKLM\Software\Classes\CLSID{01002DB2-8170-4D9B-A8B1-DDC9DD114E03}(Default) = "Volet Wanadoo"

Implemented Categories{00021494-0000-0000-C000-000000000046}\ [horizontal bar]

InProcServer32(Default) = "C:\PROGRA~1\NEOSTR~1\audience\audience.dll" [empty string]

HKLM\Software\Classes\CLSID{3BAF4A27-C764-4E1A-A6F4-62F7A7E5E51C}(Default) = "ToolBand Class"

Implemented Categories{00021494-0000-0000-C000-000000000046}\ [horizontal bar]

InProcServer32(Default) = "C:\PROGRA~1\NEOSTR~1\audience\audience.dll" [empty string]

HKLM\Software\Classes\CLSID{5BF498C0-931E-4A4F-B33F-456D07137EAA}(Default) = "Volet Wanadoo"

Implemented Categories{00021494-0000-0000-C000-000000000046}\ [horizontal bar]

InProcServer32(Default) = "C:\PROGRA~1\NEOSTR~1\audience\audience.dll" [empty string]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\

{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\

"MenuText" = "Sun Java Console"

"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"

-> {HKLM...CLSID} = "Java Plug-in 1.5.0_06"

\InProcServer32(Default) = "C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

Miscellaneous IE Hijack Points


HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\

Missing lines (compared with English-language version):

"{08C06D61-F1F3-4799-86F8-BE1A89362C85}" = (no title provided)

-> {HKLM...CLSID} = "Search Class"

\InProcServer32(Default) = "C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL" [empty string]

Running Services (Display Name, Service Name, Path {Service DLL}):


Command Service, cmdService, "C:\WINDOWS\bWFjaWVq\command.exe" [null data]

NVIDIA Driver Helper Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]

SecuROM User Access Service (V7), UserAccess7, "C:\WINDOWS\System32\UAService7.exe" [null data]

Symantec Settings Manager, ccSetMgr, ""C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe"" ["Symantec Corporation"]

A w WWDC znowu drugi i piąty buton z czerownym znakiem. Nic już nie rozumiem, przed wyłączeniem były zielone i żółte, jak napsiałem w poprzednik poście.

Złączono Posta : 25.07.2006 (Wto) 16:54

Myszak napisałeś, żeby skasować ręcznie pliki, których nawet po zaznaczeniu opcji pokazuj ukryte nie ma. Powiedzmy: C:\WINDOWS\winsysban.exe

Na screenie widać, że pliku nie ma, a wszystkie poukładane są alfabetycznie. Tak więc, jeśli jest w logu, a tu go nie ma, to gdzie się schował?