macius
(Maciejowaty24)
21 Kwiecień 2006 17:30
#1
witam mam taki problem nie moge usunac ani zainstalowac firewalla zoonealarm przazystem awaryjny tez nie moge za pomoc dzieki pozdro
Logfile of HijackThis v1.99.1 Scan saved at 19:34:31, on 2006-04-21 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe C:\Program Files\Winamp\winampa.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Program Files\Gadu-Gadu\gg.exe C:\WINDOWS\System32\LVComS.exe C:\WINDOWS\System32\services\explorer.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\explorer.exe C:\Program Files\Opera\Opera.exe C:\WINDOWS\System32\wuauclt.exe D:\instalki\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F2 - REG:system.ini: Shell=explorer.exe O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINDOWS\system32\winbrume.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe O4 - HKLM…\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [eventwvr] C:\WINDOWS\System32\eventwvr.exe O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM…\Run: [Microsoft standard protector] C:\WINDOWS\inet20001\socks.exe O4 - HKLM…\RunServices: [eventwvr] C:\WINDOWS\System32\eventwvr.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [eventwvr] C:\WINDOWS\System32\eventwvr.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O17 - HKLM\System\CCS\Services\Tcpip…{9088EBF0-B89F-4E42-A454-BFCC45E423D9}: NameServer = 85.255.115.19,85.255.112.71 O17 - HKLM\System\CCS\Services\Tcpip…{BF499503-A35B-45F7-9BA1-5E546169F1BB}: NameServer = 85.255.115.19,85.255.112.71 O20 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Unknown owner - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Uwaga: Jak wklejasz loga to obejmuj go znacznikiem (tagiem) CODE lub QUOTE
Pozdrawiam Gutek2222
aju
(aju)
21 Kwiecień 2006 17:34
#2
Wyskakuje jakiś błąd czy kompletnie nic się nie dzieje?
Jeśli już jest zainstalowany i chcesz go usunąć to:
wejdź w tryb awaryjny=> usuń folder Zone Alarm z C://program files/ ==> przeczyść rejestr programem jv16=> wejdź w start: uruchom: msconfig: zakładka usługi i uruchamianie: odnacz usługi Zone Alarm.
I już po programie ie ma śladu.
C:\WINDOWS\System32\services\explorer.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank F2 - REG:system.ini: Shell=explorer.exe O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINDOWS\system32\winbrume.dll O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) O4 - HKLM…\Run: [eventwvr] C:\WINDOWS\System32\eventwvr.exe O4 - HKLM…\Run: [Microsoft standard protector] C:\WINDOWS\inet20001\socks.exe O4 - HKLM…\RunServices: [eventwvr] C:\WINDOWS\System32\eventwvr.exe O4 - HKCU…\Run: [eventwvr] C:\WINDOWS\System32\eventwvr.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
1.Startujesz do trybu awaryjnego
2.Wyłanczasz przywracanie systemu
3.Kasujesz wpisy w HijackThis
4.Kasujesz pogrubione pliki/foldery
5.Dajesz nowy log z hjt + log z Silent Runners
Gutek
(Gutek)
21 Kwiecień 2006 17:49
#4
Bieniol:
Wyłączasz przywracanie systemu: Włączasz tryb awaryjny: Odpalasz Hijacka --> do a system scan only i zaznaczasz wpisy: I klikasz na dole “fix checked” Usuwasz ręcznie z dysku folder: C:\WINDOWS\inet20001 Uruchamiasz narzędzie KillBox, zaznaczasz Delete on reboot, w polu full path of file wklej ścieżkę: C:\WINDOWS\System32\eventwvr.exe C:\WINDOWS\system32\winbrume.dll Klikasz X i restart kompa (restart dopiero po usunięciu ostatniego pliku) Co do tego wpisu: to ściągnij Haxfix, odpalasz, wpisujesz jego nazwe (czyli: winm) --> ok, komp się zresetuje, po resecie zgłosi się okno narzędzi i wpisujesz w nim: winm Po zabiegach nowy log z Hijacka + log z Silent Runners
a ty nie mozesz sam usunać posta? Po co powtarzać spóźłniłeś się Ok - trudno, takie życie
Dodam
O17 - HKLM\System\CCS\Services\Tcpip…{9088EBF0-B89F-4E42-A454-BFCC45E423D9}: NameServer = 85.255.115.19,85.255.112.71 O17 - HKLM\System\CCS\Services\Tcpip…{BF499503-A35B-45F7-9BA1-5E546169F1BB}: NameServer = 85.255.115.19,85.255.112.71
no to nie są twoje DNS-y to ukrainiec, czyli kasujesz