Prośba o sprawdzenie loga

system · 3 Listopad 2005 13:51

Mam prośbę o sprawdzenie loga. Ostatnio zlapalem jakis syf (czy moze zbieralem od jakiegos czasu? sam nie wiem). Czesci udalo mi sie pozbyc (Scanner Online Pandy, Ad-awere, Spybot i Spy Sweeper) niestety ciagle mecza mnie wyskakujace okienka (typu: http://c.qckjmp.com/az/ch.php?f=1803&i=1918 czy http://www.searc-h.com/normal/yyy65.html itp.). Czyli jednak cos zostalo Od razu powiem ze nie ma znaczenia czy to IE czy Fierefox. Po wylaczeniu przegladarki jest to samo, domyslna przegladarka (ff) uruchamia sie samoczynnie z jakas strona, ktora jest jest pusta (zapewne dzieki ad-blokowi, aders podobny do w/w) ale proces pozostaje uruchomiony a po jakis czasie dochodza cyklicznie nowe panel. Eh… Coz moze w logu HT cos sie znajdzie?

Logfile of HijackThis v1.99.1

Scan saved at 14:49:22, on 2005-11-03

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avast 4.6\aswUpdSv.exe

C:\Program Files\Avast 4.6\ashServ.exe

C:\Program Files\cFosSpeed\spd.exe

C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE

C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Program Files\PerfectDisk\PDSched.exe

C:\Program Files\Avast 4.6\ashMaiSv.exe

C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

C:\Program Files\Avast 4.6\ashDisp.exe

C:\Program Files\Avast 4.6\ashWebSv.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Firefox 1.5 b2\firefox.exe

C:\Program Files\TC PowerPack\totalcmd.exe

C:\Program Files\Tlen.pl\tlen.exe

C:\Program Files\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\AI RoboForm\roboform.dll

O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [avast!] "C:\Program Files\Avast 4.6\ashDisp.exe"

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Download all by WellGet - C:\Program Files\WellGet\nxall.htm

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Customize Menu - file://C:\Program Files\AI RoboForm\RoboFormComCustomizeIEMenu.html

O8 - Extra context menu item: Download by &WellGet - C:\Program Files\WellGet\nxcatch.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - c:\program files\microsoft office\office\excel.exe

O8 - Extra context menu item: Fill Forms - file://C:\Program Files\AI RoboForm\RoboFormComFillForms.html

O8 - Extra context menu item: RoboForm Toolbar - file://C:\Program Files\AI RoboForm\RoboFormComShowToolbar.html

O8 - Extra context menu item: Save Forms - file://C:\Program Files\AI RoboForm\RoboFormComSavePass.html

O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_all.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Fill Forms - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\AI RoboForm\RoboFormComFillForms.html

O9 - Extra 'Tools' menuitem: Fill Forms - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\AI RoboForm\RoboFormComFillForms.html

O9 - Extra button: Save - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\AI RoboForm\RoboFormComSavePass.html

O9 - Extra 'Tools' menuitem: Save Forms - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\AI RoboForm\RoboFormComSavePass.html

O9 - Extra button: WellGet - {35980F6E-A258-4E50-953D-813BB8556899} - C:\Program Files\WellGet\WellGet.exe

O9 - Extra button: Browser Adjustment - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\AI RoboForm\RoboFormComShowToolbar.html

O9 - Extra 'Tools' menuitem: RoboForm Toolbar - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\AI RoboForm\RoboFormComShowToolbar.html

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119116538890

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1119116327375

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{ABF4A3D1-78E4-452B-AA64-F9D899B3BC50}: NameServer = 194.204.152.34 217.98.63.164

O20 - Winlogon Notify: Applets - C:\WINDOWS\system32\wL2time.dll (file missing)

O20 - Winlogon Notify: StillImage - C:\WINDOWS\system32\jr4025hmg.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Avast 4.6\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Avast 4.6\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast 4.6\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast 4.6\ashWebSv.exe" /service (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Program Files\cFosSpeed\spd.exe" -service (file missing)

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\PerfectDisk\PDEngine.exe

O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\PerfectDisk\PDSched.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Spy Sweeper\WRSSSDK.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

Z gory dzieki za pomoc.

Gutek · 3 Listopad 2005 15:25

Zastosuj Usuwanie VX2.BetterInternet jka nadal potem w hijacku pojawi sie jakiś wpis O20 to daj mi log z 1 opcji tego programu

Gutek · 3 Listopad 2005 20:09

Ok jestem znowu:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] “{8425B362-CE6E-3C24-4E9C-00BA699D874F}”="" “{22DDF883-DFC0-42AE-8F94-FD78B91639D9}”="" [HKEY_CLASSES_ROOT\CLSID{22DDF883-DFC0-42AE-8F94-FD78B91639D9}] @="" [HKEY_CLASSES_ROOT\CLSID{22DDF883-DFC0-42AE-8F94-FD78B91639D9}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID{22DDF883-DFC0-42AE-8F94-FD78B91639D9}\Implemented Categories{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID{22DDF883-DFC0-42AE-8F94-FD78B91639D9}\InprocServer32] @=“C:\WINDOWS\system32\mpxml3a.dll” “ThreadingModel”=“Apartment” ivlzma.dll Thu 2005-11-03 16:46:40 …S.R 236 097 230,56 K kldinmal.dll Thu 2005-11-03 17:07:18 …S.R 236 097 230,56 K mhexcl35.dll Thu 2005-11-03 17:30:24 …S.R 236 097 230,56 K mpxml3a.dll Thu 2005-11-03 16:41:10 …S.R 236 097 230,56 K utrdpa.dll 2005-11-03 17:40 236˙097 utrdpa.dll 2005-11-03 17:30 236˙097 mhexcl35.dll 2005-11-03 17:27 236˙097 cmaXPRegSvr20.dll 2005-11-03 17:07 236˙097 kldinmal.dll 2005-11-03 16:46 236˙097 ivlzma.dll 2005-11-03 16:45 236˙097 guard.tmp 2005-11-03 16:41 236˙097 mpxml3a.dll 2005-11-03 13:30 234˙272 j2j60c1sef.dll C:\WINDOWS\SYSTEM32\ guard.tmp

USUWANIE:

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG

Start do z Konsoli Odzyskiwania CD XP i komendy:

CD C:\WINDOWS\system32

ATTRIB -R-S-H mpxml3a.dll

ATTRIB -R-S-H utrdpa.dll

ATTRIB -R-S-H cmaXPRegSvr20.dll

ATTRIB -R-S-H kldinmal.dll

ATTRIB -R-S-H mhexcl35.dll

ATTRIB -R-S-H ivlzma.dll

ATTRIB -R-S-H guard.tmp

ATTRIB -R-S-H j2j60c1sef.dll

DEL mpxml3a.dll

DEL utrdpa.dll

DEL cmaXPRegSvr20.dll

DEL kldinmal.dll

DEL mhexcl35.dll

DEL guard.tmp

DEL j2j60c1sef.dll

EXIT

Przejście do trybu awaryjnego Windows i uruchomienie pliku FIX.REG. Dajesz mi nowego loga L2MFix robionego z opcji 1.

system · 5 Listopad 2005 11:37

Ufff troche to trawało (glownie dlatego,ze nie mogelem znalezc plyty z xp oraz lekki brak czasu pod koniec tygodnia), jednak wydaje sie ze moge w koncu napisac:

*DONE* :lol:

Zrobilem wszystko wg. instrukcji i wyglada, ze nareszcie udalo sie pozbyc tego paskudztwa. Uff…

Na wszelki wypadek wklejam log z L2MFix:

L2MFIX find log 1.04a

Gutek · 5 Listopad 2005 15:30

USUWANIE:

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG

Pocket Killbox Zaznaczasz opcję Delete on Reboot i w polu Full Path of File to Delete wklejasz ścieżkę C:\WINDOWS\System32\splunirl.dll , C:\WINDOWS\System32\ pgrfos.dll , C:\WINDOWS\System32\ penppagn.dll , C:\WINDOWS\System32\ mywdat10.dll i C:\WINDOWS\System32\mxjint40.dll Program poprosi o reset kompa … czyli resetujesz i podczas startu przejdź do trybu awaryjnego Windows i uruchomienie pliku FIX.REG

system · 5 Listopad 2005 16:18

OK zrobione. I to by bylo na tyle?? Czy wrzucic jeszcze loga z L2MFix??

Gutek · 5 Listopad 2005 16:24

Wrzuć zobacymy co jest, ma nadzieję że juz OK

system · 5 Listopad 2005 17:11

Log L2MFix (tryb awaryjny):

L2MFIX find log 1.04a

Gutek · 5 Listopad 2005 17:34

Już Ok ale spróbuj jeszcze Pocket Killbox usunać C:\WINDOWS\System32\ivlzma.dll i C:\WINDOWS\System32\mhexcl35.dll - jak wyskoczy błąd zostaw Ok juz jest

system · 5 Listopad 2005 19:07

OK wskazne, pliki KillBox skasował bez problemu. Uff to chyba koniec

Wielki dzieki za pomoc i swego rodzaju zaangazowanie W zyciu sam bym tego nie odkrecil.