Prosze o sprawdzenie loga (samoczynne przegladarki)


(Hawker Traucer) #1

Nabawiłem sie dzisiaj paskudstwa pewnego, które mi włancza przeglądarki i stronki samobieznie, włącza jakieś programy których nie mam typu internet dating, a nawet instaluje jakies ikonki na pulpicie prosze... nie ja błagam o sprawdzenie loga !!

Logfile of HijackThis v1.99.1

Scan saved at 18:49:20, on 2006-04-01

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\dXNlcg\command.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Network Monitor\netmon.exe

C:\Program Files\Eset\nod32krn.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\SYSTEM32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\windows\mousepad7.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Save\Save.exe

F:\Program Files\YDP\YdpDict\Watch.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\SYSTEM32\rundll32.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\Documents and Settings\Domowy\Pulpit\hijackthis\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://winamp/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O3 - Toolbar: Internet Anonym - {00000000-0002-0002-0000-000000000000} - c:\program files\steganos internet anonym 6\siaiep.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard7.exe

O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad7.exe

O4 - HKLM\..\Run: [newname] C:\windows\newname7.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [Steam] D:\Program Files\Steam3\Steam.exe -silent

O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"

O4 - HKCU\..\Run: [zorf] C:\PROGRA~1\COMMON~1\zorf\zorfm.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Aktywacja Testera.lnk = F:\Program Files\YDP\YdpDict\Watch.exe

O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDT/ie/bridge-c6.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{836889D6-3D96-40F0-A429-274E3139D268}: NameServer = 194.204.159.1,194.204.152.34

O17 - HKLM\System\CCS\Services\Tcpip\..\{A6825987-6F96-4189-8DF6-97076EC1F5D1}: NameServer = 194.204.159.1,194.204.152.34

O20 - Winlogon Notify: Reinstall - C:\WINDOWS\system32\dn2q01f5e.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\dXNlcg\command.exe

O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Złączono Posta : 01.04.2006 (Sob) 19:14

nazwy tegoż paskudstwa nie znam


(Bbieniol) #2

W trybie awaryjnym z wyłącząnym przywracaniem systemu usuwasz (wpisy Hijackiem, pliki/foldery pogrubione ręcznie z dysku (w razie problemów z usuwaniem plików użyj narzędzia KillBox):

Odinstaluj w dodaj/usuń programy Save, Network Monitor

Start --> Uruchom --> services.msc --> zatrzymaj i wyłącz Network Monitor i Command Service

Znasz to:

jeżeli tak to zostaw, jeżeli nie to usuń wraz z folderem

Skan EWIDO po update :slight_smile:

Użyj narzędzia Look2Me-Destroyer, następnie wrzuć log z programu l2mfix (wybierasz opcje 1)

Log z HijackThis i Silent Runners


(Hawker Traucer) #3

a jak ustawić ten tryb awaryjny z wyłącząnym przywracaniem systemu ??


(Bbieniol) #4

TUTAJ masz opisane :slight_smile:


(Hawker Traucer) #5

nie udało mi sie włą czyć trybu awaryjnego, ale usuwałem za pomoca killbox

(w msconfig nie ma zakładki zaawansowane mam system xp, gdy wciskałem f8 pokazała mi sie niebieska tabela drivów), teraz pobieram ewido.


(Bbieniol) #6

Wszystko musisz robić w awaryjnym :!:

Dlaczego nie udało Ci sie wejść do awaryjnego?


(Hawker Traucer) #7

wszystko dotąd co znalazł ewido wybieram remove i ok (było tego jak dotąd 120)

Złączono Posta : 01.04.2006 (Sob) 20:32

tak jak mówiłem

w msconfig nie ma zakładki zaawansowane mam system xp, gdy wciskałem f8 pokazała mi sie niebieska tabela drivów

(Micromac) #8

Klawisz F8 wciskasz w momencie jak ukaze sie czarny ekran z info biosu i tak trzymaj długo dopóki nie wejdziesz do trybu awaryjnego.(musisz sie postarac)

W razie problemów to zrób tak

Start => Uruchom => msconfig > w zakładce BOOT.INI zaznacz /SAFEBOOT i restart

Pozniej po wykonaniu wsystkiego co zlecił Beniol wchodzisz ponownie na msconfig i odznaczasz /SAFEBOOT


(Hawker Traucer) #9

dobra włączyłem tryb awaryjny wszystko pousuwałem co trzeba jeszcze raz przesyłam loga

Logfile of HijackThis v1.99.1

Scan saved at 20:48:56, on 2006-04-01

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\ewido anti-malware\ewidoguard.exe

C:\WINDOWS\SYSTEM32\rundll32.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Eset\nod32krn.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\SYSTEM32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\WINDOWS\System32\svchost.exe

F:\Program Files\YDP\YdpDict\Watch.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Documents and Settings\Domowy\Pulpit\hijackthis\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://winamp/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O3 - Toolbar: Internet Anonym - {00000000-0002-0002-0000-000000000000} - c:\program files\steganos internet anonym 6\siaiep.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard7.exe

O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad7.exe

O4 - HKLM\..\Run: [newname] C:\windows\newname7.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [Steam] D:\Program Files\Steam3\Steam.exe -silent

O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Aktywacja Testera.lnk = F:\Program Files\YDP\YdpDict\Watch.exe

O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDT/ie/bridge-c6.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{836889D6-3D96-40F0-A429-274E3139D268}: NameServer = 194.204.159.1,194.204.152.34

O17 - HKLM\System\CCS\Services\Tcpip\..\{A6825987-6F96-4189-8DF6-97076EC1F5D1}: NameServer = 194.204.159.1,194.204.152.34

O20 - Winlogon Notify: policies - C:\WINDOWS\system32\n0l8la3u1d.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\dXNlcg\command.exe (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

(Bbieniol) #10

Zrób jeszcze raz to co napisałem wyżej... bo z tego co teraz dałeś to wynika, ze prawie nic nie zrobiłeś...


(Hawker Traucer) #11

A tu

takie programow nie bylo

Networl Monitor nie było Command Service było ale była tylko opcja "uruchom"

wszystko chciałem usunąć jeszcze raz ale nie ma tego jak kopiuj ściezke do killbox pisze :

Po tym zeskanowałem kompa ewidem tu macie raport;

Następnie ściągnołem Look2Me-Destroyer otworzyłem, nie dało sie na nic kliknąć oprócz zaznaczenia :

Więc zaznaczyłem.

Pjawiło się okienko z napisem

kliknąłem przycisk ok.

Pojawiło się okienko z napisem [qouote]Look2Me-Destroyer will now close and will reopen in approximately 1 minute.

When it Look2Me-Destroyer restarts click the scan button to continue


(Bbieniol) #12

Powiem tak: czy Ty czytasz co napisałem?

Pamiętaj, że robi się wszystko od początku. Jeżeli nie możesz zrobić pierwszej rzeczy to nie zabieraj się za drugą, a Ty robisz wszystko inaczej: nie możesz pierwszej to zabierzesz sie za ostatnią - i jaki w tym sens?

Juź wiesz jak wejść w tryb awaryjny (jeżeli nie możesz wejść, to napisz w czym problem) :roll:


(Hawker Traucer) #13

Zrobiłem wszystko po kolei tylko na początku muj zapis się przestawił i powinno być :

Taki miał byc początek postu ale sie poprzestawiało.

Złączono Posta : 02.04.2006 (Nie) 12:14

widze że popełniłem wielki błąd dając tego ostatniego loga to był nie ten log za swój błąd przepraszam Mea Culpa, Mea Culpa, Mea maxima Culpa.

Oto dobry log.


(Gblade) #14

Otwórz hijacka>>>Open The Misc Tools section>>Delete a NT service>>> wpisz cmdService i potwierdź OK

Kasujesz pogrubiony folder i w hijacku skasuj:


(Bbieniol) #15

Sorki, troche mnie poniosło... ważne że już prawie wszystko dobrze :slight_smile:

Zrób to co napisał InfinityToJa i wszystko powinno być już dobrze :slight_smile:

Czy sytuacja z komputerem się poprawiła?


(Hawker Traucer) #16

po zrobieniu

Pojawiło sie okienko z napisem

so dalej (nie chce nic zrobic źle umiem czytac po angielsku ale nie wiem czy tak mam zrobic)


(Bbieniol) #17

Najpierw musisz zatrzymać tą usługę:

Start --> Uruchom --> services.msc --> zatrzymaj Command Service

Dopiero później:

Otwórz Hijacka --> Open The Misc Tools section --> Delete a NT service --> wpisz cmdService i potwierdź


(Hawker Traucer) #18

To śmieszne ale już o tym pisałem, gdy już to otwieram Command Service da sie tylko kliknąć uruchom.


(Bbieniol) #19

A jak to robisz? W awaryjnym czy normalnym? Jak robisz w normalnym to zrób w awaryjnym i odwrotnie :slight_smile: