Prosze o sprawdzenie loga

Hej. Jestem tutaj pierwszy raz i mam nadzieje, że mi pomożecie. Od pewnego czasu denerwuja mnie wyskakujące okienka w przeglądarce. Po przeczytaniu info na forum odinstalowałam nieszczęsnego SpyNukera ale nic nie pomogło. W zalączeniu przesyłam loga. Może coś znajdziecie… Pozdrawiam

:smiley:

kod:

Logfile of HijackThis v1.99.1

Scan saved at 15:51:16, on 2005-10-28

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Java\jre1.5.0\bin\jusched.exe

C:\Program Files\Common Files\G DATA\AVKMail\AVKPOP.EXE

E:\Gadu-Gadu\gg.exe

C:\Program Files\AntiVirenKit\AVKService.exe

C:\Program Files\AntiVirenKit\AVKWCtl.exe

C:\WINDOWS\ZGFkYQAA\command.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\SYSTEM32\rundll32.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\dada\USTAWI~1\Temp\Rar$EX00.742\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.allegro.pl/

R3 - Default URLSearchHook is missing

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Program Files\Common Files\G DATA\AVKMail\AVKPOP.EXE"

O4 - HKCU\..\Run: [Gadu-Gadu] "E:\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [AVKBar] "C:\Program Files\AntiVirenKit\AVKBar.exe"

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Similar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html

O20 - Winlogon Notify: Nls - C:\WINDOWS\system32\lv2009fme.dll

O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Program Files\AntiVirenKit\AVKService.exe

O23 - Service: Strażnik AVK (AVKWCtl) - Unknown owner - C:\Program Files\AntiVirenKit\AVKWCtl.exe

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\ZGFkYQAA\command.exe

====================================

Uwaga: Jak wklejasz loga to obejmuj go znacznikiem (tagiem) CODE lub QUOTE

Proponuje poczytać TEN temat i zobacz jaka jest prośba do userów wklejających loga.

Pozdrawiam kuz5

Zdaje się, że masz świrusa, jak się patrzy. Od razu zabij podejrzany proces C:\WINDOWS\ZGFkYQAA\command.exe: alt+ctrl+del, zaznacz “pokaż procesy wszystkich użytkowników”, kliknij na command.exe, wybierz “zakończ proces”. Dalej, usuń lub chociażby zatrzymaj usługę która odpala ten proces: P-klik na Mój Komputer->Zarządzaj->Usługi i aplikacje->Usługi. Tam szukaj “Command Service”, kliknij prawym, wybierz “właściwości”, na zakładce “Ogólne” typ uruchomienia daj na “wyłączony”, na zakładce “Odzyskiwanie” upewnij się, że jest trzy razy “nie podejmuj żadnej akcji”. Zatrzymaj usługę, skasuj folder C:\windows\zgfkyqaa i zrestartuj kompa. Sprawdź procesy, powinno być ok.

Próbuję, ale przy próbie zakończenia procesu pojawia sie komunikat :operacja nie może być zakończona, odmowa dostępu :frowning:

Spróbuj wszystkiego w trybie awaryjnym, lub w odwrotnej kolejności: najpierw zajmij się usługą, a potem dopiero procesem. Bo może być tak: zabijesz proces, a usługa stworzy ci nowy; usuniesz usługę, a proces zarejestruje ją jeszcze raz. I tak w kółko. Odpal kompa w trybie awaryjnym i wtedy działaj. Powinno się udać.

W trybie awaryjnym… To znaczy?? ( może i głupie pytanie … ale nie można wiedzieć wszystkiego, prawda ??) :wink:

Złączono Posta : 28.10.2005 (Pią) 19:08

Po restarcie kompa nie ma command.exe w procesach (ma statut wyłaczony) ani w plikach ale nadal wyskakuja okienka… wysyłam kod hijackthisa

Logfile of HijackThis v1.99.1

Scan saved at 19:01:49, on 2005-10-28

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Java\jre1.5.0\bin\jusched.exe

C:\Program Files\Common Files\G DATA\AVKMail\AVKPOP.EXE

E:\Gadu-Gadu\gg.exe

C:\Program Files\AntiVirenKit\AVKService.exe

C:\Program Files\AntiVirenKit\AVKWCtl.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\DOCUME~1\dada\USTAWI~1\Temp\Rar$EX00.772\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.allegro.pl/

R3 - Default URLSearchHook is missing

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Program Files\Common Files\G DATA\AVKMail\AVKPOP.EXE"

O4 - HKCU\..\Run: [Gadu-Gadu] "E:\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [AVKBar] "C:\Program Files\AntiVirenKit\AVKBar.exe"

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Similar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html

O20 - Winlogon Notify: Reliability - C:\WINDOWS\system32\n0n60a5sed.dll

O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Program Files\AntiVirenKit\AVKService.exe

O23 - Service: Strażnik AVK (AVKWCtl) - Unknown owner - C:\Program Files\AntiVirenKit\AVKWCtl.exe

A juz się ucieszyłam, że wszystko ok :cry:

A usługę wyłączyłaś?

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\ZGFkYQAA\command.exe

Pozbądź się jeszcze tego:

O20 - Winlogon Notify: Nls - C:\WINDOWS\system32\lv2009fme.dll

O20 - Winlogon Notify: Reliability - C:\WINDOWS\system32\n0n60a5sed.dll

Koniecznie wyłącz tą usługę. Możesz to zrobić z hijacka.

Command service jest wyłaczony a O20 - Winlogon Notify: Reliability - C:\WINDOWS\system32\n0n60a5sed.dll nie da się wykurzyć nawet przez Hijacka, wpisując taki plik do wyszukania mam info, że nie został znaleziony, przeglądając folder system 32 też go nie widze a w raporcie hijacka sie pojawia. Co ja mam robić???

a usunięty folder ?:

Ściągnij KillBoxa

http://www.downloads.subratam.org/KillBox.zip

Zaznaczasz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżkę :

C:\WINDOWS\system32\n0n60a5sed.dll

następnie program będzie pytał o restart - zgadzasz się

Command Service wyłaczony, folder C:\WINDOWS\ZGFkYQAA usunięty, KillBox chyba zadziałał (chociaż nie pytał o restart), bo nie ma już tego pliku w Hijacku, ale pojawił się podobny: O20 - Winlogon Notify: WindowsUpdate - C:\WINDOWS\system32\p66slgj716o.dll i nie wiem, czy go ruszać.

kasujesz w Hijacku:

a z tym :

robisz w Killboxie tylko że teraz wklejasz ścieżkę:

C:\WINDOWS\system32\p66slgj716o.dll

Ruszać, ruszać, ale nie bezpośrednio, bo ten dll jest generowany przez inny program, i to ten inny program trzeba usunąć… Spróbuj wyłączyć narzędziem msconfig tego FlashGeta, tudzież kompletnie go odinstalować…

To nie ma sensu. Co wykasuje jednego, to pojawia sie drugi teraz taki : O20 - Winlogon Notify: Controls Folder - C:\WINDOWS\system32\hr4605hse.dll Jak sie pozbyć tego programu ??

Jest jeszcze pewna możliwość. Spróbuj czegoś takiego: zajrzyj do katalogu c:\windows\msagent i napisz co tam znalazłaś.

pliki z nazwami zaczynającymi się od agent i końcówką dll np. agentmpx.dll

sciagnij ten program i zamknij w nim wszystkie porty

http://www.amnezja.org/pl/html/modules. … e&sid=1509

potem użyj Killboxa

moze pomoże…

Niestety nie pomogło, nadal mam jakieś pliki z końcówką dll. Zwariować można :frowning: . POMOCY !!