Angrist
19 Lipiec 2006 19:28
#1
Jest to log mojego przyjaciela, z tego co mi mówił to wiem, że nie potrafi wchodzić na żadne strony oraz nie działa mu gadu-gadu, jednak może sciągać pliki jeśli poda mu się bezpośredni link.
Oto log:
Logfile of HijackThis v1.99.1 Scan saved at 21:20:54, on 2006-07-19 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINXP\System32\smss.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\System32\Ati2evxx.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\WINXP\system32\spoolsv.exe C:\WINXP\system32\ll2.exe C:\WINXP\system32\ll4.exe C:\WINXP\system32\ll5.exe C:\WINXP\win32host.exe C:\WINXP\system32\Ati2evxx.exe C:\WINXP\Explorer.EXE C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe C:\WINXP\System32\winsystems.exe C:\WINXP\System32\mssvcc.exe C:\WINXP\System32\win32bootcfg.exe C:\Programy\DAEMON Tools\daemon.exe C:\WINXP\System32\ctfmon.exe C:\programy\Tlen.pl\tlen.exe C:\WINXP\system32\ll4.exe C:\WINXP\system32\ll5.exe C:\Programy\WHATPU~1\WHATPU~1.EXE C:\WINXP\system32\ll2.exe C:\Program Files\Skype\Phone\Skype.exe C:\PROGRAMY\MOZILL~1\FIREFOX.EXE C:\Documents and Settings\Stri Cian.STRICERKOMP\Ustawienia lokalne\Temp\Katalog tymczasowy 1 dla hijackthis.zip\HijackThis.exe C:\WINXP\system32\NOTEPAD.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - blank (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINXP\System32\msdxm.ocx O4 - HKLM…\Run: [speedTouch USB Diagnostics] “C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon O4 - HKLM…\Run: [winsystems25] winsystems.exe O4 - HKLM…\Run: [msconfig38] mssvcc.exe O4 - HKLM…\Run: [secures23] lat.exe O4 - HKLM…\Run: [Windows Core Kernel Update] C:\WINXP\System32\win32bootcfg.exe O4 - HKLM…\Run: [DAEMON Tools] “C:\Programy\DAEMON Tools\daemon.exe” -lang 1033 O4 - HKLM…\RunServices: [winsystems25] winsystems.exe O4 - HKLM…\RunServices: [msconfig38] mssvcc.exe O4 - HKLM…\RunServices: [secures23] lat.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINXP\System32\ctfmon.exe O4 - HKCU…\Run: [Komunikator] “C:\programy\Tlen.pl\tlen.exe” --confdir=home O4 - HKCU…\Run: [lr4] C:\WINXP\system32\ll4.exe O4 - HKCU…\Run: [lr5] C:\WINXP\system32\ll5.exe O4 - HKCU…\Run: [WhatPulse] C:\Programy\WHATPU~1\WHATPU~1.EXE O4 - HKCU…\Run: [lr2] C:\WINXP\system32\ll2.exe O4 - HKCU…\Run: [skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINXP\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINXP\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip…{F8328EE3-8F01-49BA-8CA3-CB74C76815C8}: NameServer = 194.204.152.34 217.98.63.164 O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINXP\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe O23 - Service: l2 - Unknown owner - C:\WINXP\system32\ll2.exe O23 - Service: l4 - Unknown owner - C:\WINXP\system32\ll4.exe O23 - Service: l5 - Unknown owner - C:\WINXP\system32\ll5.exe O23 - Service: Win32 Kernel Update (Win32Kernel) - Unknown owner - C:\WINXP\win32host.exe
adam9870
19 Lipiec 2006 19:35
#2
Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jezeli któryś z nich bedzie na żółto to go zostaw).
Start => Uruchom => Wpisz polecenie services.msc => Zatrzymaj i wyłącz usługę ll4.exe oraz ll2.exe oraz ll5.exe .
W dodań/usuń programy sprawdź czy jest WHATPU~1 jak tak to odinstaluj.
Usuń: (wszystko oczywiście robisz w trybie awaryjnym z wyłączonym przywracaniem systemu)
Pliki i foldery zaznaczone usuwasz ręcznie z dysku natomiast wpisy w HijackThis.
Pobierz program Ewido zrób update i przeskanuj.
Po wykonaniu w/w dajesz nowy log z HijackThis plus z SilentRunners .