krzpos
(K Pospiech)
6 Maj 2007 17:18
#1
Co jakiś czas podczas przeglądania www w Firefoxie, IE odpala samoczynnie stronę z reklamą. Jestem totalnie głupi w związku z tym problem, pojawił się u mnie pierwszy raz. Widziałem wcześniej temat z tym samym problemem (lecz z inaczej wyglądającym logiem). Napisałem w tamtym temacie, lecz… post znikł. Dlatego raz jeszcze proszę o pomoc w rozwiązaniu problemu.
oto log:
Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 19:13:51, on 2007-05-06 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Google\Gmail Notifier\gnotify.exe C:\Program Files\Common Files{1C7BC528-05F5-1045-0724-030302270030}\Update.exe C:\Program Files\webHancer\Programs\whagent.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\COMMON~1\PPPATC~1\svchost.exe C:\Program Files\Ipwindows\ipwins.exe C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Gadu-Gadu\gg.exe C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\system32\cidaemon.exe C:\Program Files\WinRAR\WinRAR.exe C:\DOCUME~1\POPIEC~1\USTAWI~1\Temp\Rar$EX00.412\HiJackThis_v2.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {64E7DA3A-37F2-4557-A34B-6CE34FEFADBB} - C:\WINDOWS\system32\fpcrud.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Program Files\webHancer\programs\whiehlpr.dll O2 - BHO: (no name) - {FD8702BA-ED23-C587-2453-ED5B242064B2} - C:\WINDOWS\system32\ijlgdyig.dll (file missing) O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [systemTray] SysTray.Exe O4 - HKLM…\Run: [FmctrlTray] Fmctrl.EXE O4 - HKLM…\Run: [LXCGCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16 O4 - HKLM…\Run: [KAVPersonal50] “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe” /minimize O4 - HKLM…\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe O4 - HKLM…\Run: [{1C7BC528-05F5-1045-0724-030302270030}] “C:\Program Files\Common Files{1C7BC528-05F5-1045-0724-030302270030}\Update.exe” te-110-12-0000073 O4 - HKLM…\Run: [{1C7BC528-05F6-1045-0724-030302270030}] “C:\Program Files\Common Files{1C7BC528-05F6-1045-0724-030302270030}\Update.exe” te-110-12-0000073 O4 - HKLM…\Run: [webHancer Agent] C:\Program Files\webHancer\Programs\whagent.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [Rtoa] “C:\PROGRA~1\COMMON~1\PPPATC~1\svchost.exe” -vt ndrv O4 - HKCU…\Run: [ufjalqh] C:\Documents and Settings\Pośpiech\Dane aplikacji\F?nts\m?dtc.exe O4 - HKCU…\Run: [ipWins] C:\Program Files\Ipwindows\ipwins.exe O4 - HKCU…\Run: [NBJ] “C:\Program Files\Ahead\Nero BackItUp\NBJ.exe” O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\RunOnce: [FFTI] C:\Documents and Settings\Pośpiech\Dane aplikacji\Mozilla\Firefox\Profiles\l4225b4a.default\extensions{B13721C7-F507-4982-B2E5-502A71474FED}\ffti.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART /DestPath=“C:\Documents and Settings\Pośpiech\Dane aplikacji\Mozilla\Firefox\Profiles/l4225b4a.default\extensions{B13721C7-F507-4982-B2E5-502A71474FED}” O4 - HKCU…\Policies\Explorer\Run: [{1C7BC528-0216-1045-0530-000728000030}] “C:\Program Files\Common Files{1C7BC528-0216-1045-0530-000728000030}\Update.exe” te-110-12-0000073 O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Hijacked Internet access by WebHancer O10 - Hijacked Internet access by WebHancer O10 - Hijacked Internet access by WebHancer O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O22 - SharedTaskScheduler: Moduł wstępnego ładowania interfejsu Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Demon buforu kategorii składników - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: lxcg_device - - C:\WINDOWS\system32\lxcgcoms.exe – End of file - 5710 bytes
ps. Jestem pełen podziwu dla moderatorów tego forum Działają szybciej niż mój internet
Pobierz Windows Worms Doors Cleaner , ustaw znaczki na zielono, Netbios może być na żółto.
Po użyciu narzędzia wymagany jest restart.
Pobierz LSP - FIX zaznacz " I know what I’m doing ",
następnie w okienku Keep zaznacz bibliotekę webhdll.dll i whiehlpr.dll i za pomocą strzałki (>>) przenieś ją do okienka Remover i kliknij Finish i restart.
Usuń pliki i foldery na czerwono ręcznie z dysku w trybie awaryjnym, a wpisy w HJT.
Poczytaj o usuwaniu Purity i zastosuj.
Zastosuj SimtFraudFix , opcja 2 w trybie awaryjnym.
Nowe logi z HJT i SilentRunners oraz zawartość pliku c:\rapport.txt
krzpos
(K Pospiech)
6 Maj 2007 19:39
#4
Postępując wg wskazówek, zepsułem sobie system do reszty, w akcie desperacji… przywróciłem system i… pomogło. Przepraszam za zawracanie głowy, choć przyznać muszę, że wkrótce i tak muszę sformatować dysk. Od ostatniego formatu minęło 11 miesięcy, trochę wydajność już nie ta
Dziękuję za pomoc
Joan
(Joan Sunshine)
6 Maj 2007 19:59
#5
Wklej koniecznie nowe logi
krzpos
(K Pospiech)
7 Maj 2007 20:05
#6
Nowe logi. Pewnie dużo tam jest syfu, ale póki co chodzi sprawnie wszystko A wkrótce czeka mnie format
Logfile of HijackThis v1.99.1 Scan saved at 22:02:46, on 2007-05-07 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Fmctrl.EXE C:\Program Files\Google\Gmail Notifier\gnotify.exe C:\Program Files\Common Files{1C7BC528-05F5-1045-0724-030302270030}\Update.exe C:\Program Files\webHancer\Programs\whagent.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Gadu-Gadu\gg.exe C:\PROGRA~1\COMMON~1\PPPATC~1\svchost.exe C:\Program Files\Ipwindows\ipwins.exe C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\cidaemon.exe C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE C:\Program Files\WinRAR\WinRAR.exe C:\DOCUME~1\POPIEC~1\USTAWI~1\Temp\Rar$EX00.076\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {34E28931-6CA6-1056-A34B-6CE34FEEFBE8} - C:\WINDOWS\system32\pvmhbsb.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Program Files\webHancer\programs\whiehlpr.dll O2 - BHO: (no name) - {FD8702BA-ED23-C587-2453-ED5B242064B2} - C:\WINDOWS\system32\ijlgdyig.dll (file missing) O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [systemTray] SysTray.Exe O4 - HKLM…\Run: [FmctrlTray] Fmctrl.EXE O4 - HKLM…\Run: [LXCGCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16 O4 - HKLM…\Run: [KAVPersonal50] “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe” /minimize O4 - HKLM…\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe O4 - HKLM…\Run: [{1C7BC528-05F5-1045-0724-030302270030}] “C:\Program Files\Common Files{1C7BC528-05F5-1045-0724-030302270030}\Update.exe” te-110-12-0000073 O4 - HKLM…\Run: [{1C7BC528-05F6-1045-0724-030302270030}] “C:\Program Files\Common Files{1C7BC528-05F6-1045-0724-030302270030}\Update.exe” te-110-12-0000073 O4 - HKLM…\Run: [webHancer Agent] C:\Program Files\webHancer\Programs\whagent.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [Rtoa] “C:\PROGRA~1\COMMON~1\PPPATC~1\svchost.exe” -vt ndrv O4 - HKCU…\Run: [ufjalqh] C:\Documents and Settings\Pośpiech\Dane aplikacji\F?nts\m?dtc.exe O4 - HKCU…\Run: [ipWins] C:\Program Files\Ipwindows\ipwins.exe O4 - HKCU…\Run: [NBJ] “C:\Program Files\Ahead\Nero BackItUp\NBJ.exe” O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\RunOnce: [FFTI] C:\Documents and Settings\Pośpiech\Dane aplikacji\Mozilla\Firefox\Profiles\l4225b4a.default\extensions{B13721C7-F507-4982-B2E5-502A71474FED}\ffti.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART /DestPath=“C:\Documents and Settings\Pośpiech\Dane aplikacji\Mozilla\Firefox\Profiles/l4225b4a.default\extensions{B13721C7-F507-4982-B2E5-502A71474FED}” O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Hijacked Internet access by WebHancer O10 - Hijacked Internet access by WebHancer O10 - Hijacked Internet access by WebHancer O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing) O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: lxcg_device - - C:\WINDOWS\system32\lxcgcoms.exe
Joan
(Joan Sunshine)
7 Maj 2007 20:34
#7
zrób proszę raz jeszcze dokładnie to, co qrczak13 napisał wcześniej, co się stało konkretnie z systemem podczas usuwania tego?
krzpos
(K Pospiech)
9 Maj 2007 07:38
#8
Oprócz tego, że wysypał się system doszczętnie, to nic wielkiego, niestety, ja to już taka lama jestem, że jak za rączkę ktoś mnie nie poprowadzi, to tylko zepsuję Po prostu zacząłem usuwać to co kazaliście, widocznie coś zrobiłem nie tak.