Proszę o sprawdzenie loga.Mam poważny problem


(Gargulec4) #1

Wszedłem na jakąś stronkę i jakiś syf mi się zainstalował.podobny do spy sheriffa, ale to chyba nie to . Prosze o pomoc!

Logfile of HijackThis v1.99.1

Scan saved at 19:14:58, on 2006-02-04

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\nvraidservice.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\ATI Multimedia\main\launchpd.exe

C:\Program Files\ATI Multimedia\RemCtrl\ATIRW.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\WINDOWS\System32\rundll32.exe

C:\WINDOWS\System32\wbem\unsecapp.exe

C:\WINDOWS\tool2.exe

C:\WINDOWS\System32\paytime.exe

C:\WINDOWS\System32\rundll32.exe

C:\WINDOWS\inet20010\winlogon.exe

C:\WINDOWS\inet20010\mm4.exe

C:\WINDOWS\System32\dllcache\IExplore.exe

C:\PROGRA~1\COMMON~1\fmrk\fmrkm.exe

C:\PROGRA~1\COMMON~1\fmrk\fmrka.exe

C:\WINDOWS\smss.exe

c:\windows\winsysban5.exe

C:\WINDOWS\explorer.exe

C:\PROGRA~1\COMMON~1\fmrk\fmrkl.exe

C:\Documents and Settings\Ossama Ben Laden\Ustawienia lokalne\Temp\Katalog tymczasowy 1 dla hijackthis.zip\HijackThis.exe

C:\WINDOWS\ieserver.exe

C:\WINDOWS\winlogon.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F3 - REG:win.ini: run=C:\WINDOWS\inet20010\winlogon.exe

O2 - BHO: - {1E6CE4CD-161B-4847-B8BF-E2EF72299D69} - C:\WINDOWS\System32\ib6.dll

O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\inet20010\3.01.00.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Program Files\TheSearchAccelerator\UCMTSAIE.dll

O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe

O4 - HKLM\..\Run: [winsysupd] c:\windows\winsysupd5.exe

O4 - HKLM\..\Run: [WindowsUpdateNT] C:\WINDOWS\System\svwhost.exe /s

O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20010\winlogon.exe

O4 - HKLM\..\Run: [Microsoft Windows Session Manager Subsystem] C:\WINDOWS\smss.exe

O4 - HKLM\..\Run: [Microsoft Windows Logon Process] C:\WINDOWS\winlogon.exe

O4 - HKLM\..\Run: [winsysban] c:\windows\winsysban5.exe

O4 - HKLM\..\Run: [gimmygames] c:\windows\gimmygames.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ATI Launchpad] "C:\Program Files\ATI Multimedia\main\launchpd.exe"

O4 - HKCU\..\Run: [ATI Remote Control] C:\Program Files\ATI Multimedia\RemCtrl\ATIRW.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20010\winlogon.exe

O4 - HKCU\..\Run: [WindowsUpdateNT] C:\WINDOWS\System\svwhost.exe

O4 - HKCU\..\Run: [fmrk] C:\PROGRA~1\COMMON~1\fmrk\fmrkm.exe

O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Program Files\ATI Multimedia\tv\EXPLBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138612653025

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1138612640166

O16 - DPF: {E6A3C1E2-F792-483E-9133-596215172BE9} (AcceptLang Class) - http://runonce.msn.com/setacceptlang.cab

O20 - Winlogon Notify: ThemeManager - C:\WINDOWS\system32\mltlsapi.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Windows Logon Process Service (MSWinLogonProcService) - Unknown owner - C:\WINDOWS\winlogon.exe" -service (file missing)

O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\ATIMUL~1\RemCtrl\x10nets.exe (file missing)

(Wieliczka Marcin) #2

Na początek dałbyś loga w znacznikach code lub quote bo to nioc nie widać !!


(Gargulec4) #3

Zastosowałem code, ale jeśli wolisz qote to prosze bardzo


(Wieliczka Marcin) #4

Przy wyłączonym przywracaniu sysa i w trybie awaryjnym fixujesz w pisy a na pliki czerwono usuwasz ecznie


(Gutek) #5

Brakuje kilku:

  1. Wyłączyć Przywracanie systemu w XP TU

  2. Zastartować do trybu awaryjnego bez internetu(opis w linku wyżej).

  3. Zaznaczyć wskazane wpisy w Hijacku i kliknąć Fix checked. Wpisy zostaną usunięte.

  4. Skasować z dysku pliki i foldery, które podkreśliłem na czerwono

  5. Dokończyć skanerami online - Scanery do wyboru

  6. Pokazać nowy log :stuck_out_tongue:

Zastosuj Usuwanie tapety SpySheriff


(Gargulec4) #6

wsytko zfixowałem co pisaliście a syf znowu się pojawił:(

Tego nie mogłem usunąć:

po retsrcie i logu samo zniknęło(file missing). Komp chodzi lepiej(nie ma już krzyżyka na pasku), ale wyskakują reklamy. Fałszywej tapety wogóle nie było(o dziwo). Daje loga kontrolnego


(Gutek) #7

Ściągnij L2Mfix i daj log nr 1 z narzędzia L2Mfix

Jak masz

l2mfix.png

wybierasz opcję 1. Run Find Log = odpowiednik tworzenia loga w FindIt. Patrz dalej na LOG NUMER 1. ZAWSZE tego loga macie utworzyć by mi pokazać

Użyj Pocket Killbox. Zaznaczasz opcję Delete on Reboot oraz All Files i w polu Full Path of File to Delete wklejasz ścieżki

C:\windows\smss.exe

C:\windows\winlogon.exe i naciskasz X czerwony. Program poprosi o reset kompa … czyli resetujesz.


(Gargulec4) #8

Killboxem się posłużyłem, ale prośby o restsrt nie było. Skanowałem antywirem i wykrył mi jeszcze trochce ścierwa, ale jednego nie mógł usunąć:

C:\WINDOWS\system32\child.dll

Oto log który kazałeś mi zrobić:


(Gutek) #9

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG

Start do z Konsoli Odzyskiwania CD XP i komendy:

CD C:\WINDOWS\system32

ATTRIB -R-S-H guard.tmp

ATTRIB -R-S-H child.dll

ATTRIB -R-S-H dhcprop2.dll

ATTRIB -R-S-H f6l00g3me6.dll

ATTRIB -R-S-H gp4ul3h91.dll

ATTRIB -R-S-H k6pmlg7116.dll

DEL guard.tmp

DEL child.dll

DEL dhcprop2.dll

DEL f6l00g3me6.dll

DEL gp4ul3h91.dll

DEL k6pmlg7116.dll

EXIT

Przejście do trybu awaryjnego Windows i uruchomienie pliku FIX.REG. Dajesz mi nowego loga L2MFix robionego z opcji 1.


(Gargulec4) #10
gp4ul3h91.dll
  • tego nie usunąlem bo nie było(sprawdzałem dwa razy). Reszta poszła gładko. Wszystko z kompem niby ok, tylko czasami niechciane stronki się otwieraja

Daje loga:


(Gutek) #11

Nie poszło gładko, usuwasz bez netu! !!

Otwórz Notatnik i wklej w nim to:

Plik Zapisz jako Zmień rozszerzenie z TXT na Wszystkie pliki Zapisz pod nazwą FIX.REG

Start do z Konsoli Odzyskiwania CD XP i komendy:

CD C:\WINDOWS\system32

ATTRIB -R-S-H rcnd.dll

ATTRIB -R-S-H hrro0593e.dll

ATTRIB -R-S-H pMutoenr.dll

ATTRIB -R-S-H ktnsl7571.dll

ATTRIB -R-S-H igagehlp.dll

ATTRIB -R-S-H mfobjs.dll

ATTRIB -R-S-H msc42loc.dll

DEL rcnd.dll

DEL hrro0593e.dll

DEL pMutoenr.dll

DEL ktnsl7571.dll

DEL igagehlp.dll

DEL mfobjs.dll

DEL msc42loc.dll

EXIT

Przejście do trybu awaryjnego Windows i uruchomienie pliku FIX.REG. Dajesz mi nowego loga L2MFix robionego z opcji 1.


(Gargulec4) #12

tym razem usuwałem bez netu

oto log:


(Gutek) #13

Już prawie koniec - dalej bez netu uwalaj:

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG

Start do z Konsoli Odzyskiwania CD XP i komendy:

CD C:\WINDOWS\system32

ATTRIB -R-S-H guard.tmp

ATTRIB -R-S-H fppu0379e.dll

ATTRIB -R-S-H hrro0593e.dlll

DEL guard.tmp

DEL fppu0379e.dll

DEL hrro0593e.dlll

EXIT

Przejście do trybu awaryjnego Windows i uruchomienie pliku FIX.REG. Dajesz mi nowego loga L2MFix robionego z opcji 1 oraz HIJACKA


(Gargulec4) #14

znalazłem tylko jeden plik spośród wmienionych powyżej. Stronki już nie wyskakują więc chyba wszystko w porządku. Dzięki serdeczne za poświęcony czas!

Daje jeszcze log kontrolny:


(Gutek) #15

Nie mają prawa wyskakiwać :wink:

Syf usunięty :slight_smile:


(Gargulec4) #16

Jeszcze raz dzięki :slight_smile: i do następnego razu :wink: