Prośba o sprawdzenie loga (pojawiające się strony www)

PiotrC · 13 Listopad 2005 21:28

Bardzo proszę o sprawdzenie poniższego loga. Ostatnio na mojego kompa dostało się sporo wirusów, większość usunąłem ale jeden problem pozostał - co parę minut samoczynnie włączają mi się strony www. Są to jakieś strony z reklamami, nie ma na nich wirusów ani pornografii, ale wkurzające jest gdy przerywają mi przeglądanie netu:/ Oto mój log:

Logfile of HijackThis v1.99.1

Scan saved at 22:20:21, on 2005-11-13

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\explorer.exe

D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Wireless LAN Utility\Am772cfg.exe

D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

D:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\MsPMSPSv.exe

D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

D:\Program Files\Alwil Software\Avast4\ashWebSv.exe

E:\Azureus\Azureus.exe

C:\Program Files\Java\jre1.5.0_01\bin\javaw.exe

C:\WINDOWS\System32\svchost.exe

D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

D:\Mozilla Firefox\firefox.exe

C:\Documents and Settings\PC\Pulpit\hijackthis\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"

O1 - Hosts: 127.0.0.5 n-glx.s-redirect.com

O1 - Hosts: 127.0.0.5 x.full-tgp.net

O1 - Hosts: 127.0.0.5 counter.sexmaniack.com

O1 - Hosts: 127.0.0.5 autoescrowpay.com

O1 - Hosts: 127.0.0.5 www.autoescrowpay.com

O1 - Hosts: 127.0.0.5 www.awmdabest.com

O1 - Hosts: 127.0.0.5 www.sexfiles.nu

O1 - Hosts: 127.0.0.5 awmdabest.com

O1 - Hosts: 127.0.0.5 sexfiles.nu

O1 - Hosts: 127.0.0.5 allforadult.com

O1 - Hosts: 127.0.0.5 www.allforadult.com

O1 - Hosts: 127.0.0.5 www.iframe.biz

O1 - Hosts: 127.0.0.5 iframe.biz

O1 - Hosts: 127.0.0.5 www.newiframe.biz

O1 - Hosts: 127.0.0.5 newiframe.biz

O1 - Hosts: 127.0.0.5 www.vesbiz.biz

O1 - Hosts: 127.0.0.5 vesbiz.biz

O1 - Hosts: 127.0.0.5 www.pizdato.biz

O1 - Hosts: 127.0.0.5 pizdato.biz

O1 - Hosts: 127.0.0.5 www.awmcash.biz

O1 - Hosts: 127.0.0.5 awmcash.biz

O1 - Hosts: 127.0.0.5 buldog-stats.com

O1 - Hosts: 127.0.0.5 www.buldog-stats.com

O1 - Hosts: 127.0.0.5 fregat.drocherway.com

O1 - Hosts: 127.0.0.5 slutmania.biz

O1 - Hosts: 127.0.0.5 www.slutmania.biz

O1 - Hosts: 127.0.0.5 toolbarpartner.com

O1 - Hosts: 127.0.0.5 www.toolbarpartner.com

O1 - Hosts: 127.0.0.5 www.megapornix.com

O1 - Hosts: 127.0.0.5 megapornix.com

O1 - Hosts: 127.0.0.5 www.sp2fucked.biz

O1 - Hosts: 127.0.0.5 sp2fucked.biz

O1 - Hosts: 127.0.0.5 greg-tut.com

O1 - Hosts: 127.0.0.5 www.greg-tut.com

O1 - Hosts: 127.0.0.5 nylonsexy.com

O1 - Hosts: 127.0.0.5 www.nylonsexy.com

O1 - Hosts: 127.0.0.5 vparivalka.com

O1 - Hosts: 127.0.0.5 www.vparivalka.com

O1 - Hosts: 127.0.0.5 iframeprofit.com

O1 - Hosts: 127.0.0.5 www.iframeprofit.com

O1 - Hosts: 127.0.0.5 topsearch10.com

O1 - Hosts: 127.0.0.5 www.topsearch10.com

O1 - Hosts: 127.0.0.5 statscash.biz

O1 - Hosts: 127.0.0.5 www.statscash.biz

O1 - Hosts: 127.0.0.5 vxiframe.biz

O1 - Hosts: 127.0.0.5 www.vxiframe.biz

O1 - Hosts: 127.0.0.5 crazy-toolbar.com

O1 - Hosts: 127.0.0.5 www.crazy-toolbar.com

O1 - Hosts: 127.0.0.5 topcash.biz

O1 - Hosts: 127.0.0.5 www.topcash.biz

O1 - Hosts: 127.0.0.5 loadcash.biz

O1 - Hosts: 127.0.0.5 www.loadcash.biz

O1 - Hosts: 127.0.0.5 txiframe.biz

O1 - Hosts: 127.0.0.5 www.txiframe.biz

O1 - Hosts: 127.0.0.5 procounter.biz

O1 - Hosts: 127.0.0.5 www.procounter.biz

O1 - Hosts: 127.0.0.5 advadmin.biz

O1 - Hosts: 127.0.0.5 www.advadmin.biz

O1 - Hosts: 127.0.0.5 trafficbest.net

O1 - Hosts: 127.0.0.5 www.trafficbest.net

O1 - Hosts: 127.0.0.5 besthvac.com

O1 - Hosts: 127.0.0.5 www.besthvac.com

O1 - Hosts: 127.0.0.5 traff4.com

O1 - Hosts: 127.0.0.5 www.traff4.com

O1 - Hosts: 127.0.0.5 ambush-script.com

O1 - Hosts: 127.0.0.5 www.ambush-script.com

O1 - Hosts: 127.0.0.5 beehappyy.biz

O1 - Hosts: 127.0.0.5 www.beehappyy.biz

O1 - Hosts: 127.0.0.5 tracktraff.cc

O1 - Hosts: 127.0.0.5 www.tracktraff.cc

O1 - Hosts: 127.0.0.5 allcount.net

O1 - Hosts: 127.0.0.5 www.allcount.net

O1 - Hosts: 127.0.0.5 onedayoffer.biz

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Program Files\TheSearchAccelerator\UCMTSAIE.dll

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\RunServices: [WIN USB 2.0] winusb.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - Startup: AM772CFG.lnk = ?

O8 - Extra context menu item: Download All by FlashGet - D:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - D:\Program Files\FlashGet\jc_link.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://bezpieczenstwo.onet.pl/skaner/SkanerOnline.cab

O20 - Winlogon Notify: Explorer - C:\WINDOWS\system32\enlml1311.dll

O20 - Winlogon Notify: st3i - C:\WINDOWS\q12908791.dll (file missing)

O21 - SSODL: ICIEHBDD - {3DC63F25-6CB1-6745-6554-7B763B111D6F} - C:\WINDOWS\System32\Ljdheh32.dll (file missing)

O21 - SSODL: mtklefap - {3269B60A-D11E-445E-FC8A-BB306CE07E0F} - C:\WINDOWS\System32\ihqej32.dll (file missing)

O21 - SSODL: mtklef - {80FB8AAD-0891-43F8-E099-58F1D0F10A32} - C:\WINDOWS\system32\vutcba32.dll (file missing)

O21 - SSODL: mtkle - {EF65F6C7-79C6-40E9-DB90-9938A4A11A3D} - C:\WINDOWS\System32\vutcba32.dll (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

Gutek · 13 Listopad 2005 22:09

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank F2 - REG:system.ini: Shell=explorer.exe"C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe" O1 - Hosts: 127.0.0.5 n-glx.s-redirect.com O1 - Hosts: 127.0.0.5 x.full-tgp.net O1 - Hosts: 127.0.0.5 counter.sexmaniack.com O1 - Hosts: 127.0.0.5 autoescrowpay.com O1 - Hosts: 127.0.0.5 http://www.autoescrowpay.com O1 - Hosts: 127.0.0.5 http://www.awmdabest.com O1 - Hosts: 127.0.0.5 http://www.sexfiles.nu O1 - Hosts: 127.0.0.5 awmdabest.com O1 - Hosts: 127.0.0.5 sexfiles.nu O1 - Hosts: 127.0.0.5 allforadult.com O1 - Hosts: 127.0.0.5 http://www.allforadult.com O1 - Hosts: 127.0.0.5 http://www.iframe.biz O1 - Hosts: 127.0.0.5 iframe.biz O1 - Hosts: 127.0.0.5 http://www.newiframe.biz O1 - Hosts: 127.0.0.5 newiframe.biz O1 - Hosts: 127.0.0.5 http://www.vesbiz.biz O1 - Hosts: 127.0.0.5 vesbiz.biz O1 - Hosts: 127.0.0.5 http://www.pizdato.biz O1 - Hosts: 127.0.0.5 pizdato.biz O1 - Hosts: 127.0.0.5 http://www.awmcash.biz O1 - Hosts: 127.0.0.5 awmcash.biz O1 - Hosts: 127.0.0.5 buldog-stats.com O1 - Hosts: 127.0.0.5 http://www.buldog-stats.com O1 - Hosts: 127.0.0.5 fregat.drocherway.com O1 - Hosts: 127.0.0.5 slutmania.biz O1 - Hosts: 127.0.0.5 http://www.slutmania.biz O1 - Hosts: 127.0.0.5 toolbarpartner.com O1 - Hosts: 127.0.0.5 http://www.toolbarpartner.com O1 - Hosts: 127.0.0.5 http://www.megapornix.com O1 - Hosts: 127.0.0.5 megapornix.com O1 - Hosts: 127.0.0.5 http://www.sp2fucked.biz O1 - Hosts: 127.0.0.5 sp2fucked.biz O1 - Hosts: 127.0.0.5 greg-tut.com O1 - Hosts: 127.0.0.5 http://www.greg-tut.com O1 - Hosts: 127.0.0.5 nylonsexy.com O1 - Hosts: 127.0.0.5 http://www.nylonsexy.com O1 - Hosts: 127.0.0.5 vparivalka.com O1 - Hosts: 127.0.0.5 http://www.vparivalka.com O1 - Hosts: 127.0.0.5 iframeprofit.com O1 - Hosts: 127.0.0.5 http://www.iframeprofit.com O1 - Hosts: 127.0.0.5 topsearch10.com O1 - Hosts: 127.0.0.5 http://www.topsearch10.com O1 - Hosts: 127.0.0.5 statscash.biz O1 - Hosts: 127.0.0.5 http://www.statscash.biz O1 - Hosts: 127.0.0.5 vxiframe.biz O1 - Hosts: 127.0.0.5 http://www.vxiframe.biz O1 - Hosts: 127.0.0.5 crazy-toolbar.com O1 - Hosts: 127.0.0.5 http://www.crazy-toolbar.com O1 - Hosts: 127.0.0.5 topcash.biz O1 - Hosts: 127.0.0.5 http://www.topcash.biz O1 - Hosts: 127.0.0.5 loadcash.biz O1 - Hosts: 127.0.0.5 http://www.loadcash.biz O1 - Hosts: 127.0.0.5 txiframe.biz O1 - Hosts: 127.0.0.5 http://www.txiframe.biz O1 - Hosts: 127.0.0.5 procounter.biz O1 - Hosts: 127.0.0.5 http://www.procounter.biz O1 - Hosts: 127.0.0.5 advadmin.biz O1 - Hosts: 127.0.0.5 http://www.advadmin.biz O1 - Hosts: 127.0.0.5 trafficbest.net O1 - Hosts: 127.0.0.5 http://www.trafficbest.net O1 - Hosts: 127.0.0.5 besthvac.com O1 - Hosts: 127.0.0.5 http://www.besthvac.com O1 - Hosts: 127.0.0.5 traff4.com O1 - Hosts: 127.0.0.5 http://www.traff4.com O1 - Hosts: 127.0.0.5 ambush-script.com O1 - Hosts: 127.0.0.5 http://www.ambush-script.com O1 - Hosts: 127.0.0.5 beehappyy.biz O1 - Hosts: 127.0.0.5 http://www.beehappyy.biz O1 - Hosts: 127.0.0.5 tracktraff.cc O1 - Hosts: 127.0.0.5 http://www.tracktraff.cc O1 - Hosts: 127.0.0.5 allcount.net O1 - Hosts: 127.0.0.5 http://www.allcount.net O1 - Hosts: 127.0.0.5 onedayoffer.biz O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Program Files\TheSearchAccelerator\UCMTSAIE.dll O4 - HKLM…\RunServices: [WIN USB 2.0] winusb.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O20 - Winlogon Notify: Explorer - C:\WINDOWS\system32\enlml1311.dll O20 - Winlogon Notify: st3i - C:\WINDOWS\q12908791.dll (file missing) O21 - SSODL: ICIEHBDD - {3DC63F25-6CB1-6745-6554-7B763B111D6F} - C:\WINDOWS\System32\Ljdheh32.dll (file missing) O21 - SSODL: mtklefap - {3269B60A-D11E-445E-FC8A-BB306CE07E0F} - C:\WINDOWS\System32\ihqej32.dll (file missing) O21 - SSODL: mtklef - {80FB8AAD-0891-43F8-E099-58F1D0F10A32} - C:\WINDOWS\system32\vutcba32.dll (file missing) O21 - SSODL: mtkle - {EF65F6C7-79C6-40E9-DB90-9938A4A11A3D} - C:\WINDOWS\System32\vutcba32.dll (file missing)

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable. Po użyciu tego narzędzia wymagany jest reset sysa.

Wyłączyć Przywracanie systemu w XP TU
Zastartować do trybu awaryjnego bez internetu(opis w linku wyżej).
Zaznaczyć wskazane wpisy w Hijacku i kliknąć Fix checked. Wpisy zostaną usunięte.
Skasować z dysku pliki i folder, które podkreśliłem na czerwono
Dokończyć skanerami online - Scanery do wyboru
Pokazać nowy log

Poczytaj jak usunac: TROJAN STYDLER

Poczytaj Usuwanie VX2.BetterInternet i daj mi log nr 1 z narzedzia L2Mfix

PiotrC · 13 Listopad 2005 23:03

ok, zrobiłem jak kazałeś:

uzylem windows worms doors cleanera i zmienilem znaczki na disabled
w trybie awaryjnym usunalem wpisy z Hijacka
skasowalem pliki i folder ktore zaznaczyles na czerwono
poczytalem jak usunac trojana Stydlera i po lekturze tego tekstu doszedlem do wniosku, ze chyba go jednak nie mam

Niestety problem ze stronami www nadal wystepuje, daje wiec loga z narzedzia L2Mfix:

Gutek · 13 Listopad 2005 23:26

USUWANIE:

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG

Start do z Konsoli Odzyskiwania CD XP i komendy:

CD C:\WINDOWS\system32

ATTRIB -R-S-H j64olgh3164.dll

ATTRIB -R-S-H wcvdmod.dll

ATTRIB -R-S-H h00qlad51d0.dll

ATTRIB -R-S-H gnkrsrc.dll

ATTRIB -R-S-H cmrpol.dll

DEL j64olgh3164.dll

DEL wcvdmod.dll

DEL h00qlad51d0.dll

DEL gnkrsrc.dll

DEL cmrpol.dll

EXIT

Przejście do trybu awaryjnego Windows i uruchomienie pliku FIX.REG. Dajesz mi nowego loga L2MFix robionego z opcji 1.

Gutek · 14 Listopad 2005 13:28

qzyn81 czytałeś całość

Dokończyć skanerami online - Scanery do wyboru

qzyn81 · 14 Listopad 2005 18:19

a czy programik CWShredder jest scanerem online? z tego co wiem to producent czyli InterMute, Inc. posiada na swojej stronce skaner online ale wyżej wymieniony programik chyba nim nie jest.

Gutek · 14 Listopad 2005 21:41

wybacz ale nie rozumie patrzyłeś na linka? Ok z mojej strony koniec OT!

qzyn81 · 14 Listopad 2005 22:08

Sorki! zwracam honor, przeoczyłem. Zresztą to nie miejsce na takie dyrdymały.

PiotrC · 16 Listopad 2005 14:08

To znowu ja. Zrobiłem wszystko jak napisałeś, niestety żadnej poprawy. Uruchomiłem Konsolę Odzyskiwania i chciałem usunąć te pliki, niestety nie znalazło ich:( Może to dlatego, że płytę Windowsa dostałem dopiero dzisiaj i pliki wirusa zdążyły pozmieniać nazwy…

W każdym razie podaje nowy log z narzedzia l2mfix, mam nadzieję że znowu mi pomożesz (Tym razem wszelkie instrukcje wykonam od razu)

Gutek · 16 Listopad 2005 18:40

USUWANIE:

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG

Start do z Konsoli Odzyskiwania CD XP i komendy:

CD C:\WINDOWS\system32

ATTRIB -R-S-H arsnw.dll

ATTRIB -R-S-H hr2605fse.dll

ATTRIB -R-S-H lv2q09f5e.dll

ATTRIB -R-S-H umrcoina.dll

ATTRIB -R-S-H guard.tmp

DEL arsnw.dll

DEL hr2605fse.dll

DEL lv2q09f5e.dll

DEL umrcoina.dll

DEL guard.tmp

EXIT

Przejście do trybu awaryjnego Windows i uruchomienie pliku FIX.REG. Dajesz mi nowego loga L2MFix robionego z opcji 1.

PiotrC · 16 Listopad 2005 19:25

Ok, usunąłem te pliki przez Konsolę Odzyskiwania (nie znalazło mi tylko tego pierwszego pliku - arsnw.dll) Jak na razie wszystko wygląda dobrze, proces rundll zniknął z mojego kompa i jużnie wyskakują reklamy. Daje nowego loga z l2mfix:

Gutek · 16 Listopad 2005 20:37

OK czysto po sprawie

PiotrC · 16 Listopad 2005 22:20

Dzięki bardzo za pomoc:)

meo · 17 Listopad 2005 16:03

odkąd wróciłam do domu, to stronka nie wyskoczyła jeszcze, a była to bodajże stronka sony.pl/… (nie kupowałam i nie używałam ostatnio żadnych płyt sony )

po przeskanowaniu kasperskym dostałam taki komunikat:

dziwne tochę, bo otwierało się ie a nie mozilla

72FC2649d01 usunęłam i puszczam kolejny raz antywirusa