Proszę o sprawdzenie loga (hjt)


(Duch66) #1

Od wczoraj mam problem z kompem. Kiedy mam włączony internet na jakiejs stronce, to po pewnym czasie otwierają się strony reklamowe, lub jakies dziadostwa… Nie otwiera się to w nowym oknie tylko zmienia adres w tym na ktrym siedzę… Skanowałem kompa AdWarem, Kaspersky’m i Spybotem… proszę o pomoc! oto moj log:

C:\WINDOWS\system32\rundll32.exe

C:\Documents and Settings\Administrator\Pulpit\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - Default URLSearchHook is missing

O2 - BHO: IeHelper Class - {A491D208-B353-490F-B81A-A8A3DC97042D} - C:\WINDOWS\system32\smiehlp.dll

O2 - BHO: (no name) - {CE57DA55-F491-45C6-B3DB-6C98E4B17CDC} - C:\Program Files\Secretmaker\secretmakerie.dll

O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)

O3 - Toolbar: SECRETMAKER - {7435856C-6CA1-45CF-A00D-82178387F223} - C:\Program Files\Secretmaker\secretmakerie.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Program Files\DAP\DAP.EXE" /STARTUP

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [spoolmgr] C:\WINDOWS\system32\spoolmgr.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [VoipBuster] "C:\program files\voipbuster.com\voipbuster\voipbuster.exe" -nosplash -minimized

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: 22M WLAN Adapter.lnk = ?

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Microsoft Works Calendar Reminders.lnk = ?

O4 - Global Startup: SECRETMAKER.lnk = C:\Program Files\Secretmaker\secretmaker.exe

O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1045\OLFSNT40.EXE


O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{BBA2CEA9-5920-4666-813F-050D253DCC6F}: NameServer = 213.17.150.254,194.204.159.1

O20 - Winlogon Notify: DateTime - C:\WINDOWS\system32\lvn6095se.dll

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcDataSrv.exe

O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe]

Proszę o sprawdzenie loga! !!

z gry thnx

====================================

Ostatni raz dajesz takiego loga, czyli obcietego, nastepnym razem temat z logiem poleci odrazu do Śmietnika

Pozdrawiam kuz5


(Gutek) #2

Dlaczego nie wkleiłes całego log-a?

wpisy w trybie awaryjnym hijackiem usuń pliki ręcznie

Ale najważniejsze zobacz Usuwanie VX2.BetterInterneti daj log nr 1 z narzędzia L2Mfix


(Duch66) #3
L2mfix Beta 120305

Creating Account.

Polecenie zostao wykonane pomylnie.


Adding Administrative privleges. 

WystĄpi bĄd systemu 1376.


Okrelona grupa lokalna nie istnieje.


Checking for L2MFix account(0=no 1=yes): 

1

 Granting SeDebugPrivilege to L2MFIX ... successful

Checking for L2MFix account(0=no 1=yes): 

0

To mialem w pliku log w l2mxfix. Zrobilem to i nic… Niemoge usunonc tego 020 cos tam… Mozesz mi wytlumaszczyc jak usunonc to dziadostwo bo to co na famtym forum pize jest troche chaotycznie zapisane…


(Gutek) #4

Co mi dajesz? Jak masz

l2mfix.png

wybierasz opcję 1. Run Find Log = odpowiednik tworzenia loga w FindIt. Patrz dalej na LOG NUMER 1. ZAWSZE tego loga macie utworzyć by mi pokazać - czy tak trudno jest przeczytać?


(Duch66) #5

ok mam ten log:

L2MFIX find log 120305

(Gutek) #6

No już lepiej :stuck_out_tongue:

USUWANIE:

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG

Start do z Konsoli Odzyskiwania CD XP i komendy:

CD C:\WINDOWS\system32

ATTRIB -R-S-H okfox32.dll

ATTRIB -R-S-H smnike.dll

ATTRIB -R-S-H p28qlcl51fq.dll

ATTRIB -R-S-H jt4807hue.dll

ATTRIB -R-S-H hrj8051ue.dll

ATTRIB -R-S-H h2l20c3oef.dll

ATTRIB -R-S-H lwcalspl.dll

ATTRIB -R-S-H f4l0le3m1h.dll

ATTRIB -R-S-H wjcltui.dll

ATTRIB -R-S-H fppo0373e.dll

ATTRIB -R-S-H dn0801due.dll

ATTRIB -R-S-H hr2405fqe.dll

ATTRIB -R-S-H qtv.dll

ATTRIB -R-S-H ktr2l79o1.dll

ATTRIB -R-S-H j44oleh31h4.dll

ATTRIB -R-S-H m246lchs1f46.dll

ATTRIB -R-S-H vk31vfw.dll

ATTRIB -R-S-H l6n4lg5q16.dll

ATTRIB -R-S-H o4nsle571h.dll

ATTRIB -R-S-H wjcltui.dll

ATTRIB -R-S-H wo2topl.dll

ATTRIB -R-S-H guard.tmp

DEL okfox32.dll

DEL smnike.dll

DEL p28qlcl51fq.dll

DEL jt4807hue.dll

DEL hrj8051ue.dll

DEL h2l20c3oef.dll

DEL lwcalspl.dll

DEL f4l0le3m1h.dll

DEL wjcltui.dll

DEL fppo0373e.dll

DEL dn0801due.dll

DEL hr2405fqe.dll

DEL qtv.dll

DEL ktr2l79o1.dll

DEL j44oleh31h4.dll

DEL m246lchs1f46.dll

DEL vk31vfw.dll

DEL l6n4lg5q16.dll

DEL o4nsle571h.dll

DEL wjcltui.dll

DEL wo2topl.dll

DEL guard.tmp

EXIT

Przejście do trybu awaryjnego Windows i uruchomienie pliku FIX.REG. Dajesz mi nowego loga L2MFix robionego z opcji 1.


(Duch66) #7

eh… Niemam Cd z windowsem XP… Nie da sie tego jakos inaczej zrobic? Np. tym VX2fixerem? Gdzie ja to cholerstwo moglem zlapac?


(Gutek) #8

VX2 to największy syf ale mozesz jak wejdziesz w linka Konsoli Odzyskiwania (jest wyżej) znajdziesz (6 dyskietek) - Windows XP Professional startowych :wink:

Poczytaj i na pewno dasz radę- przejdziesz 6 punktów masz screeny to zaczna siękomendy:

CD C:\WINDOWS\system32 i Enter potem pozostałe po każdej enter i na końcu EXIT


(Duch66) #9

A nie ma sposobu na załatwienie tego pez płyty czy dyskietek? Bo mi stacja dyskietek padła:)


(Gutek) #10

Nie ma ie da sie to bardzo trudna infekcja do zwalczenia :frowning:


(Duch66) #11

Ej a te komendy do konsoli to muszę po kolei wpisywac czy wszystko na raz wkleic?


(Gutek) #12

Poczytaj i na pewno dasz radę- przejdziesz 6 punktów masz screeny to zaczna się komendy:

CD C:\WINDOWS\system32 i Enter

potem pozostałe po każdej enter

i na końcu

EXIT

Tak jak masz napisane - są w słupku - tylko po każdej enter :wink:


(Duch66) #13

Ok zroblem.

Tu jest log:

L2MFIX find log 120305

(Gutek) #14

Kured bo jest bnie tak łatwo kolego:

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG

Start do z Konsoli Odzyskiwania CD XP i komendy:

CD C:\WINDOWS\system32

ATTRIB -R-S-H ctseqchk.dll

ATTRIB -R-S-H q0psla771d.dll

ATTRIB -R-S-H sdtupdll.dll

ATTRIB -R-S-H dn0201doe.dll

ATTRIB -R-S-H miiole16.dll

ATTRIB -R-S-H dnn4015qe.dll

ATTRIB -R-S-H rWsser.dll

ATTRIB -R-S-H vd6vfw.dll

ATTRIB -R-S-H fp4m03h1e.dll

ATTRIB -R-S-H nmwddi.dll

ATTRIB -R-S-H gp68l3ju1.dll

ATTRIB -R-S-H m8ls0i37e8.dll

ATTRIB -R-S-H enl8l13u1.dll

ATTRIB -R-S-H i8jqli1518.dll

ATTRIB -R-S-H hjzcon08.dll

ATTRIB -R-S-H sjdpsrv.dll

ATTRIB -R-S-H i6600gjme6oa0.dll

ATTRIB -R-S-H wmnmm.dll

ATTRIB -R-S-H nbnt4cpl.dll

DEL ctseqchk.dll

DEL q0psla771d.dll

DEL sdtupdll.dll

DEL dn0201doe.dll

DEL miiole16.dll

DEL dnn4015qe.dll

DEL rWsser.dll

DEL vd6vfw.dll

DEL fp4m03h1e.dll

DEL nmwddi.dll

DEL gp68l3ju1.dll

DEL m8ls0i37e8.dll

DEL enl8l13u1.dll

DEL i8jqli1518.dll

DEL hjzcon08.dll

DEL sjdpsrv.dll

DEL i6600gjme6oa0.dll

DEL wmnmm.dll

DEL nbnt4cpl.dll

EXIT

Przejście do trybu awaryjnego Windows i uruchomienie pliku FIX.REG. Dajesz mi nowego loga L2MFix robionego z opcji 1.

Szybko skopiuj co masz usunąc i działaj, im czesciej siedzisz na necie tym więcej syfu sciągasz, kabel odłączony


(Duch66) #15
L2MFIX find log 120305

(Gutek) #16

Już po mału koniec

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG

Start do z Konsoli Odzyskiwania CD XP i komendy:

CD C:\WINDOWS\system32

ATTRIB -R-S-H q0psla771d.dll

ATTRIB -R-S-H guard.tmp

DEL q0psla771d.dll

DEL guard.tmp

EXIT

Przejście do trybu awaryjnego Windows i uruchomienie pliku FIX.REG. Dajesz mi nowego loga L2MFix robionego z opcji 1.

A teraz rejestr?


(Duch66) #17

Jest taka sprawa, że to q0psla771d.dll sie nie chcialo zrobic. A jak do rejestru chcialem tamto wpakowac to wyskoczyło że nie można bo co jest nie tak:P A tumasz loga po zrobieniu z guard.tmp…


(Gutek) #18

Zrób taki klucz rejestru

wiesz jak ale zanim przejdziesz do awaryjnego użyj

Użyj Pocket Killbox. Zaznaczasz opcję Delete on Reboot i w polu Full Path of File to Delete wklejasz ścieżkę

C:\WINDOWS\System32\q0psla771d.dll i naciskasz X czerwony. Program poprosi o reset kompa … czyli resetujesz i wtedy awaryjny i fix-a uzyj :wink:


(Duch66) #19

Kurde przy tym killboxie jak to zrobilm wyskoczylo mi:cosss2na.th.jpg

To dobze czy zle? jak zle to co robic?


(Gutek) #20

A daj log z L2Mfix

Co do komunikatu:

Chodzi o to że procesy śmiecia usunęły akcję bo trzeba to wszystko robić TYLKO I WYŁĄCZNIE W TRYBIE AWARYJNYM.