glizda
(Gitarist)
1 Lipiec 2006 13:56
#1
Mam dość często opisywaną tu sytuację:pojawia się niebieskie tło zamiast tapety,czerwone kółeczko obok zegara. Oprócz tego komputer zwolnił,jak nie wiem co…Proszę o sprawdzenie loga.
Logfile of HijackThis v1.99.1 Scan saved at 2:18:57, on 11.11.2001 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe D:\Winamp\winampa.exe D:\ALWILS~1\Avast4\ashDisp.exe D:\Alwil Software\Avast4\aswUpdSv.exe C:\WINDOWS\system32\testtestt.exe C:\WINDOWS\system32\spoolsvv.exe C:\Windows\xpupdate.exe D:\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\nvsvc32.exe D:\Alwil Software\Avast4\ashMaiSv.exe D:\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\WgaTray.exe D:\eMule\emule.exe C:\Program Files\Internet Explorer\iexplore.exe D:\Winamp\Winamp.exe C:\WINDOWS\system32\wuauclt.exe C:\DOCUME~1\MONIKA~1\USTAWI~1\Temp\Rar$EX00.731\HijackThis.exe C:\Program Files\Internet Explorer\iexplore.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ??cza R3 - URLSearchHook: (no name) - _{08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file) R3 - URLSearchHook: (no name) - _{00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file) R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL O1 - Hosts: 217.96.35.130 auto.search.msn.com O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O4 - HKLM…\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe O4 - HKLM…\Run: [WinampAgent] D:\Winamp\winampa.exe O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime O4 - HKLM…\Run: [avast!] D:\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM…\Run: [system] C:\WINDOWS\system32\testtestt.exe O4 - HKLM…\Run: [spoolsvv] C:\WINDOWS\system32\spoolsvv.exe O4 - HKLM…\Run: [˙_zskVR[KBAKU
LHIVF] C:\WINDOWS\system32_zskwrkni05\FVIHLU
KABK[RV.exe O4 - HKLM…\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM…\RunServices: [˙_zskVR[KBAKU
LHIVF] C:\WINDOWS\system32_zskwrkni05\FVIHLU
KABK[RV.exe O4 - HKLM…\RunServices: [systemTools] C:\WINDOWS\system32\testtestt.exe O4 - HKCU…\Run: [Komunikator] D:\Tlen.pl\tlen.exe O4 - HKCU…\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe O4 - HKCU…\Run: [Gadu-Gadu] “D:\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [Windows update loader] C:\Windows\xpupdate.exe O4 - HKCU…\Run: [˙_zskVR[KBAKU
LHIVF] C:\WINDOWS\system32_zskwrkni05\FVIHLU
KABK[RV.exe O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZC O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDT/i … e-c420.cab O16 - DPF: {DECEAAA2-370A-49BB-9362-68C3A58DDC62} (SAIX) - http://static.zangocash.com/cab/Seekmo/ … 34bd5979c5 5160096913529835d16a72533d83b2e3f66b7061404865 d208e54adc74b1fca7477cb89ffde9ea6bac6a5dfd81ba8c3f1f16ecc:155ff7b6a3c39e5d13b88244eaad9a2e O20 - Winlogon Notify: artm_newreg - C:\Documents and Settings\All Users\Dokumenty\Settings\artm_new.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - D:\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - D:\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - D:\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
squeet
(squeet)
1 Lipiec 2006 14:00
#2
Zobacz, jaka jest prośba do wklejających logi:
http://forum.dobreprogramy.pl/viewtopic.php?t=66889
I zmień temat zgodnie z nią. Logi obejmujemy tagami quote .
system
(system)
1 Lipiec 2006 14:08
#3
To wszystko do usunięcia. Wystartuj do awaryjnego. Wyłącz przywracanie systemu i kasuj wpisy a pliki na czerwono ręcznie z dysku
Ale to nie wszystko masz rootkita. Dawaj log z Gmer-a http://www.gmer.net/ . Zakładka rootkit i szukaj po skanowaniu kopiuj i ctrl+v do posta wklej
Edit: Wpis R3 nie usuwasz hijackiem tylko wpisz w uruchom regedit i ok.
Przejdz do klucza HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks .Po prawej stronie będzie _{08C06D61-F1F3-4799-86F8-BE1A89362C85} _{00A6FAF6-072E-44cf-8957-5838F569A31D} usuń to.
Wszystkie inne wpisy z tą kreseczką _ kasujesz również
glizda
(Gitarist)
1 Lipiec 2006 15:47
#4
Sorry,ja trochę tępa jestem w te klocki.Gdzie mam te wpisy skasować i najlepiej od razu jak je skasować??
MaYsTeR
(Mayster X)
1 Lipiec 2006 15:52
#5
Opis jak kasować szkodliwe wpisy masz pod tym linkiem
http://forum.dobreprogramy.pl/viewtopic.php?t=36654 - 2. Usuwanie szkodliwych wpisów.
Następnie pliki na czerwono usuń ręcznie z dysku
glizda
(Gitarist)
1 Lipiec 2006 17:06
#6
Dzięki,tylko mam kolejny problem.Jak włączam gmera,to mi się komp resetuje.Dochodzi do momentu,kiedy otwiera się gmer i koniec…