Prośba o sprawdzenie loga

Pigula · 26 Grudzień 2005 00:03

Logfile of HijackThis v1.99.1 Scan saved at 01:03:59, on 2005-12-25 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\windows\System32\smss.exe C:\windows\system32\winlogon.exe C:\windows\system32\services.exe C:\windows\system32\lsass.exe C:\windows\system32\svchost.exe C:\windows\System32\svchost.exe C:\Program Files\Ahead\InCD\InCDsrv.exe C:\windows\system32\spoolsv.exe C:\PROGRAM FILES\ANTIVIR PE\AVGUARD.EXE C:\Program Files\AntiVir PE\AVWUPSRV.EXE C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\windows\winlogon.exe C:\windows\Explorer.EXE C:\windows\system32\nvsvc32.exe C:\windows\System32\tcpsvcs.exe C:\windows\SOUNDMAN.EXE C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe C:\Program Files\Ahead\InCD\InCD.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe C:\Program Files\AntiVir PE\AVGNT.EXE C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\windows\smss.exe C:\windows\system32\ctfmon.exe C:\Program Files\Gadu-Gadu\Gadu-Gadu\gg.exe C:\windows\system32\rundll32.exe C:\Program Files\Windows Media Player\wmplayer.exe C:\Program Files\HijackThis\HijackThis.exe C:\windows\system32\wuauclt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://kurnik.pl/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.dolsat.pl/proxy.pac R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = w3cache.dolsat.pl:8080 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: - {1E6CE4CD-161B-4847-B8BF-E2EF72299D69} - C:\WINDOWS\system32\ib6.dll O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\PROGRA~1\FRESHD~1\fdcatch.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [RemoteControl] “C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe” O4 - HKLM…\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe O4 - HKLM…\Run: [AVGCtrl] C:\Program Files\AntiVir PE\AVGNT.EXE /min O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [Microsoft Windows Session Manager Subsystem] C:\windows\smss.exe O4 - HKLM…\Run: [Microsoft Windows Logon Process] C:\windows\winlogon.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\Gadu-Gadu\gg.exe” /tray O8 - Extra context menu item: Download &All by FD - file://C:\Program Files\Fresh Download\fdiectx2.htm O8 - Extra context menu item: Download with &FD - file://C:\Program Files\Fresh Download\fdiectx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://D:\content\include\XPPatchInstaller.CAB O16 - DPF: {70B410C0-BADA-11D4-8308-0080C8D7ED4A} (GameDesire Bridge) - http://67.15.101.3/g_bin/pl/bridge_2_0_0_16.cab O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/pl/snooker_2_0_0_24.cab O20 - Winlogon Notify: ssldr - ssldr32.dll (file missing) O20 - Winlogon Notify: URL - C:\WINDOWS\system32\pwustab.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\ANTIVIR PE\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AntiVir PE\AVWUPSRV.EXE O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe O23 - Service: Windows Logon Process Service (MSWinLogonProcService) - Unknown owner - C:\windows\winlogon.exe" -service (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe

Bardzo proszę o sprawdzenie. Ja już sprawdzałem i mam wątpliwości co do tego smss.exe i winlogon.exe. Co mam zrobić z tymi “fille missing”? Z góry dziękuję za pomoc.

Gutek · 26 Grudzień 2005 00:31

Wpis O23 - Start >>> Uruchom >>> services.msc >>> zatrzymaj i wyłącz Windows Logon Process Service

Wyłączyć Przywracanie systemu w XP TU
Zastartować do trybu awaryjnego bez internetu(opis w linku wyżej).
Zaznaczyć wskazane wpisy w Hijacku i kliknąć Fix checked. Wpisy zostaną usunięte.
Skasować z dysku pliki i foldery, które podkreśliłem na czerwono
Dokończyć skanerami online - Scanery do wyboru
Pokazać nowy log

zobacz Usuwanie VX2.BetterInternet i daj log nr 1 z narzędzia L2Mfix

Pigula · 26 Grudzień 2005 01:35

Witaj ponownie. Zrobiłem jak kazałeś. Chciałbym się Ciebie o coś zapytać, jeśli wolno.

Czy mam włączyć przywracanie systemu po tym wszystkim?
Usunąłem wszystkie wpisy które poruszyłeś, włącznie z “O20 - Winlogon Notify: URL - C:\WINDOWS\system32\pwustab.dll”. Pod tym plikiem kryje się Adware bądź Spyware. Ale nie mogę tego pliku usunąć gdyż blokuje go proces (teraz już dobry) “winlogon.exe”. Jak mogę ten plik wyrzucić?
Mam taki malutki problemik nie związany z tym. Otóż mimo czyszczenia historii, usuwania plików itp. niektóre strony mi zostają w historii (tzn. jak wpisuje adres strony to mi się tam pojawia "uzupełnienie i proponowana strona) I tak są to np:

a) http://www.kaspersky.com/de/remoteviruschk.html

b) http://www.wilderssecurity.com/newreply … y&p=146606

Jest ich niewiele, ale trochę mnie to irytuje. Liczę na Twoją, jak i Waszą pomoc. Dziękuję.

Gutek · 26 Grudzień 2005 01:40

Prosze zobacz do Usuwanie VX2.BetterInternet i daj log nr 1 z narzędzia L2Mfix

Siedzi na pewno syf i nie usuniemy jego tak łatwo:

Jak masz obrazek

wybierasz opcję 1. Run Find Log = odpowiednik tworzenia loga w FindIt. Patrz dalej na LOG NUMER 1. ZAWSZE tego loga macie utworzyć by mi pokazać - bez tego nic nie zrobimy

Pigula · 26 Grudzień 2005 01:49

Ale drogi Guciu. Przeczytałem cały opis tego BetterInterneta i nie mam żadnych objawów. Nie przekierowywuje mnie na żadną stronę, nie mam też ządnych pop-upów. A w HijackThis, tak jak sam widziałeś - nie mam żadnego wpisu. Dziwne jest, ale AntiVir wykrywał mi po kolei te wirusy, kiedy chciały się dostać. Ja zawsze klikałem “zablokuj dostęp” bądź “wyczyść plik”. Nie wiem jak one się wogóle dostały?! Możesz mi to wyjaśnić? Co z tym plikem?

Gutek · 26 Grudzień 2005 02:01

jak nie ma były - zwłaszcza ssldr32.dll, daj log z L2Mfix oraz log z Silenta - Silent opis: http://www.searchengines.pl/phpbb203/in … opic=15989

Ja nie jestem wrózką, nie wiem co się dzieje w kompie log-i mnie informują, przykłądy inych tematow nie ma notatnika, pliku a po czasie sie znajduje

Prosze o log-i

Pigula · 26 Grudzień 2005 02:07

Najdroższy mój Guciu. Usunąłem oba wejścia. Nie ma po nich śladu. Sprawdziłem loga na “hijackthis.de” i wszystko jest SAFE. Dzięki Tobie! Dlatego na zwieńczenie naszego wspólnego sukcesu prosiłbym o to, byś powiedział mi jak usunąć ten plik. Naprawdę, proszę Cię o to! Jak coś się będzie działo, to powrócę do tego tematu. Wiesz coś na temat punktu 3? Dziękuję.

Gutek · 26 Grudzień 2005 02:13

To że w hijacku nie ma wpisów nie znaczy że nie ma ukrytych plików, dlaczego nie chcesz pomóc i wstawić log-i

Co do problemu - http://www.google.pl/support/bin/answer.py?answer=465 - tak postepujesz jak proponują?

Pigula · 26 Grudzień 2005 02:20

Drogi Guciu. Chciałbym tylko usunąć ten plik. Proszę, powiedz jak go mam usunąć i jak ominąć proces “winlogon.exe” by to zrobić. Jak to zrobię, to zajmę się resztą, bo już śpiący jestem. Naprawdę, proszę powiedz mi jak usunąć ten plik.

Złączono Posta : 26.12.2005 (Pon) 3:21

A co do punktu 3 to postępowałem według wskazówek, a strony dalej zostały. Jakieś inne propozycje?

Gutek · 26 Grudzień 2005 02:26

Użyj Pocket Killbox. Zaznaczasz opcję Delete on Reboot i w polu Full Path of File to Delete wklejasz ścieżkę

C:\WINDOWS\System32\pwustab.dll i naciskasz X czerwony. Program poprosi o reset kompa … czyli resetujesz.

Ale ja mówię bez log-ów sie nie obejdzie

Tak miałeś:

Ok do dzisiaj rana ja też jestem padniety

Pigula · 26 Grudzień 2005 02:31

Ale kiedy ja mam tą opcję “na zero”, a mimo to zostały te niektóre wpisy w historii. Pozdrawiam, śpij dobrze. Jeszcze raz dziękuję za potencjalne rozwiązanie problemu. Jeśli pojawią się komplikacje to się odezwę. Pozdrawiam.