Proszę o sprawdzenie loga

Koni · 27 Grudzień 2005 19:41

Witam mam od pewnego czasu problem z wyskakującymi okienkami Pop-up. Skanowałem Ad-awarem i innymi programami, wykonałem też skany on-line i dalej wyskakują okienka i strony internetowe (większość ma w adresie /normal/yyy102.html Używam przeglądarki Avant Browser.

Oto log z HijackThis - v1.99.1

Logfile of HijackThis v1.99.1

Scan saved at 20:23:29, on 2005-12-27

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\SYSTEM32\rundll32.exe

C:\WINDOWS\SYSTEM32\svchost.exe

C:\WINDOWS\Explorer.EXE

D:\Avast4\aswUpdSv.exe

D:\Avast4\ashServ.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\tlntsvr.exe

D:\Avast4\ashMaiSv.exe

C:\WINDOWS\SOUNDMAN.EXE

D:\Avast4\ashWebSv.exe

C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

D:\Winamp\winampa.exe

D:\Avast4\ashDisp.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\MSMSGS.EXE

D:\Gadu-Gadu\gg.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

D:\NetPanel\NetPanel.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\WINDOWS\System32\wuauclt.exe

D:\AVANT BROWSER\AVANT.EXE

C:\Documents and Settings\KONRAD\Pulpit\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [avast!] D:\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NetPanel] "D:\NetPanel\Starter.exe" /path="D:\NetPanel"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background

O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [Skype] "D:\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O8 - Extra context menu item: Blokuj wszystkie obrazy z tego serwera - D:\AVANT BROWSER\AddAllToADBlackList.htm

O8 - Extra context menu item: Dodaj do listy blokowanych reklam - D:\AVANT BROWSER\AddToADBlackList.htm

O8 - Extra context menu item: Download All by FlashGet - D:\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - D:\FlashGet\jc_link.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Otwórz w nowym Avant Browser - D:\AVANT BROWSER\OpenInNewBrowser.htm

O8 - Extra context menu item: Otwórz wszystkie adresy z tej strony... - D:\AVANT BROWSER\OpenAllLinks.htm

O8 - Extra context menu item: Podświetl - D:\AVANT BROWSER\Highlight.htm

O8 - Extra context menu item: Szukaj - D:\AVANT BROWSER\Search.htm

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe

O16 - DPF: {65D72393-E210-4A2A-B8E0-10AC45986770} (GWebInstallControl Object) - http://netpanel.gemius.pl/netpanel2/WebInstaller.dll

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{03F86C61-5517-4431-A546-CD304B2B81A6}: NameServer = 192.168.1.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{03F86C61-5517-4431-A546-CD304B2B81A6}: NameServer = 192.168.1.1

O17 - HKLM\System\CS2\Services\Tcpip\..\{03F86C61-5517-4431-A546-CD304B2B81A6}: NameServer = 192.168.1.1

O20 - Winlogon Notify: Explorer - C:\WINDOWS\system32\m064lajq1doe.dll

O20 - Winlogon Notify: ssldr - C:\WINDOWS\SYSTEM32\ssldr32.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - D:\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - D:\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - D:\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Gutek · 27 Grudzień 2005 22:14

w trybie awaryjnym uusń pliki oraz znajdz jeszcze plik i tez usuń doser.exe

Usuwanie VX2.BetterInternet i daj log nr 1 z narzędzia L2Mfix

Koni · 27 Grudzień 2005 23:49

Te pliki ssldr32.dll i ibm00001.exe usunąłem ale nie mogę wyszukać doser.exe i jest jeszcze taki plik IBM00001.EXE-2D7E14E8.pf (tego nie usuwałem)

A tutaj zamieszczam log z l2mfix

L2MFIX find log 121605

Gutek · 27 Grudzień 2005 23:57

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG

Start do z Konsoli Odzyskiwania CD XP i komendy:

CD C:\WINDOWS\system32

ATTRIB -R-S-H guard.tmp

ATTRIB -R-S-H mixclu.dll

ATTRIB -R-S-H h4j4le1q1h.dll

ATTRIB -R-S-H gpp2l37o1.dll

ATTRIB -R-S-H wtvcore.dll

ATTRIB -R-S-H o848lihu1848.dll

ATTRIB -R-S-H pTutoenr.dll

ATTRIB -R-S-H ssldr32.dll

ATTRIB -R-S-H mvn4l95q1.dll

DEL guard.tmp

DEL mixclu.dll

DEL h4j4le1q1h.dll

DEL gpp2l37o1.dll

DEL wtvcore.dll

DEL o848lihu1848.dll

DEL pTutoenr.dll

DEL ssldr32.dll

DEL mvn4l95q1.dll

EXIT

Przejście do trybu awaryjnego Windows i uruchomienie pliku FIX.REG. Dajesz mi nowego loga L2MFix robionego z opcji 1.

Koni · 28 Grudzień 2005 12:37

Więc zrobiłem wszystko jak zalecałeś ale system(w konsoli odzyskiwania) nie mógł odnaleźć mixclu.dll , h4j4le1q1h.dll , qpp2l37o1.dll , ssldr32.dll (ale ssldr32.dll usuwałem wcześniej wiec to chyba ok)

Czytałem, że te śmieci z /normal/yyyXXX.html zapisują się za każdym razem jako inny wpis w rejestrze i trzeba to usuwać przy wylączonym necie ale szczegułów nie znam

Oto log

L2MFIX find log 121605

Gutek · 28 Grudzień 2005 12:48

Tak wyłaczony net, skopiuj instrukcję i:

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG

Start do z Konsoli Odzyskiwania CD XP i komendy:

CD C:\WINDOWS\system32

ATTRIB -R-S-H whdconns.dll

ATTRIB -R-S-H ir8ql5l51.dll

ATTRIB -R-S-H f82mlif1182.dll

ATTRIB -R-S-H dTd8thk.dll

DEL whdconns.dll

DEL ir8ql5l51.dll

DEL f82mlif1182.dll

DEL dTd8thk.dll

EXIT

Przejście do trybu awaryjnego Windows i uruchomienie pliku FIX.REG. Dajesz mi nowego loga L2MFix robionego z opcji 1.

Koni · 28 Grudzień 2005 13:11

L2MFIX find log 121605

Gutek · 28 Grudzień 2005 13:22

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Ustaw rozszerzenie z TXT na Wszystkie pliki >>> zapisz pod nazwą FIX.REG >>> kliknij podwójnie zrobiony plik i potwierdź >>> reset kompa

usuń ir8ql5l51.dll przez konsolę:

ATTRIB -R-S-H ir8ql5l51.dll

DEL ir8ql5l51.dll

Co do paska:

Koni · 28 Grudzień 2005 13:39

Naprawdę dzięki, uratowałeś mnie przed formatem Żadne pop-up juz nie wyskakuje ani nie muli kompa, a i pasek działa z wszystkimi skrótami 8)

Respect :mrgreen: