Prosze o sprawdzenie loga

onlybarca · 2006-02-13 12:40:59 UTC

witam !

mam prosbe , moglby ktos spojrzec na tego loga , poniewaz mam male problemy z przeglądaniem stron internetowych. Po kazdym zaladowaniu nowej strony pokazują sie w nowym oknie reklamy albo ostrzezenia ze moj windows jest zainfekowany . Mysle ze to moze byc SurfSideKick , SpySheriff,

Dealhelper , DollarRevenue , Trojan.Downloader.I , FindTheWebsiteYouNeed i Adware.cmdService bo takie infekcje znalazl mi Microsoft Anti Spyware , próbowalem juz Ad-aware , Spybot , CWShreeder i wile innych niby cos tam znalazly i wykasowaly ale problem ni zniknął . Nie znam sie za bardzo na tych logach i usuwaniach wirusow innymi sposobami niz programy, takze moglby mi ktos doradzic od czego moge zacząc , oto moj log :

Logfile of HijackThis v1.99.1 Scan saved at 12:29:21, on 2006-02-13 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\user\Pulpit\HijackThis.exe O10 - Broken Internet access because of LSP provider 'smnsp.dll' missing O20 - Winlogon Notify: AdminDebug - C:\WINDOWS\system32\en20l1fm1.dll O21 - SSODL: PDtvvfBF - {58A35554-F209-FFFE-EFDE-A6E875E7AD7C} - C:\WINDOWS\system32\ec.dll O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

====================================

Uwaga: Jak wklejasz loga to obejmuj go znacznikiem (tagiem) CODE lub QUOTE

Proponuje poczytać TEN temat i zobacz jaka jest prośba do userów wklejających loga.

Pozdrawiam kuz5

Mario_90 · 2006-02-13 13:04:33 UTC

wklej całego loga

onlybarca · 2006-02-13 13:13:27 UTC

wydaje mi sie ze to juz caly log , nic wiecej tam nie ma :

Logfile of HijackThis v1.99.1 Scan saved at 13:13:01, on 2006-02-13 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Microsoft AntiSpyware\gcasServ.exe C:\Documents and Settings\user\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/ O20 - Winlogon Notify: AdminDebug - C:\WINDOWS\system32\en20l1fm1.dll O21 - SSODL: PDtvvfBF - {58A35554-F209-FFFE-EFDE-A6E875E7AD7C} - C:\WINDOWS\system32\ec.dll O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

marcin1989 · 2006-02-13 13:30:25 UTC

Nie sądze żeby to był cały log

Gdy dasz “Do a system scan and save log file”

Skopiuj zawartość całego pliku tekstowego który Ci wyskoczy =]

Zresztą poczytaj jak wklejać loga

onlybarca · 2006-02-13 13:38:46 UTC

Logfile of HijackThis v1.99.1 Scan saved at 13:37:43, on 2006-02-13 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Microsoft AntiSpyware\gcasServ.exe C:\Program Files\Winamp\winamp.exe C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\Documents and Settings\user\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/ O20 - Winlogon Notify: AdminDebug - C:\WINDOWS\system32\en20l1fm1.dll O21 - SSODL: PDtvvfBF - {58A35554-F209-FFFE-EFDE-A6E875E7AD7C} - C:\WINDOWS\system32\ec.dll O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Mario_90 · 2006-02-13 13:39:11 UTC

usuwasz

O21 - SSODL: PDtvvfBF - {58A35554-F209-FFFE-EFDE-A6E875E7AD7C} - C:\WINDOWS\system32\ec.dll

zainstaluj sobie jakiegoś ativirusa + firewalla

onlybarca · 2006-02-13 13:40:03 UTC

czyli usunąc tylko ten jeden wpis i po sprawie ???

Mario_90 · 2006-02-13 14:12:43 UTC

i chyba

O20 - Winlogon Notify: AdminDebug - C:\WINDOWS\system32\en20l1fm1.dll

ale nie jestem pewny narazie tego nie usuwaj ale to usuń

O21 - SSODL: PDtvvfBF - {58A35554-F209-FFFE-EFDE-A6E875E7AD7C} - C:\WINDOWS\system32\ec.dll

InfinityToJa · 2006-02-13 14:24:40 UTC

onlybarca · 2006-02-13 14:30:04 UTC

L2mfix wygenerowal cos takiego :

L2MFIX find log 010406

Gutek · 2006-02-13 15:41:34 UTC

Zrób tak, zapuść z tego narzędzia L2Mfix opcję 2. Run Fix = opcja automatycznego usuwania VX2, jej wybranie spowoduje uruchomienie procedury czyszczącej oraz prośbę kompa o reset. W trakcie resetu zastartuje plik second.bat, który zabije rundll32.exe + explorer.exe (zniknie wam Pulpit) i dokończy procedurę czyszczącą.

To może trwać DO PIĘCIU MINUT! Na koniec dostaniecie loga co znaleziono i co usunięto ale tego nie chce loga, tylko daj nowy log nr 1 z L2Mfix , czekam

onlybarca · 2006-02-13 16:56:33 UTC

L2MFIX find log 010406

Gutek · 2006-02-13 17:02:54 UTC

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG b]FIX.REG. Przejście do trybu awaryjnego Windows i uruchomienie pliku FIX.REG

Użyj Pocket Killbox. Zaznaczasz opcję Delete on Reboot oraz All Files i w polu Full Path of File to Delete wklejasz ścieżki

C:\WINDOWS\System32\tempimg.tmp

C:\WINDOWS\System32\mpcsvc.exe

C:\WINDOWS\System32\dcom_13.dll

C:\WINDOWS\System32\fp8q03l5e.dll i naciskasz X czerwony. Program poprosi o reset kompa … czyli resetujesz.

Nowy log z Silenta - Silent opis: http://www.searchengines.pl/phpbb203/in … opic=15989

onlybarca · 2006-02-13 17:09:49 UTC

MAM PYTANIE , WSZYSTKO W PORZąDKU ALE NIE MOGE DO TEGO PROGRRAMU WKLEIC TYCH DWOCH SCIEZEK NA RAZ TYLKO TRZEBA JEDNą , JAK MAM TO ZROBIC??? NAJPIERW PIERWSZA a potem zają sie druga ???

Gutek · 2006-02-13 17:21:48 UTC

Zaznaczasz opcję Delete on Reboot oraz All Files

onlybarca · 2006-02-13 17:36:58 UTC

"Silent Runners.vbs", revision 43, http://www.silentrunners.org/

Operating System: Windows XP SP2

Output limited to non-default values, except where indicated by "{++}"



Startup items buried in registry:

---------------------------------


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]


HKLM\Software\Microsoft\Active Setup\Installed Components\

{44BBA844-CC51-11CF-AAFA-AABBCCDDEE02}\(Default) = "skrzynka bogiego"

                                       \StubPath = "rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\skrzynka.inf,profil.d" [MS]


HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"

  -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"

  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]

"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"

  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]

"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"

  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]

"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"

  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]

"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"

  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]

"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"

  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"

  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"

  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"

  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"

  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]

"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"

  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]

"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"

  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]

"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"

  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]


HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\

INFECTION WARNING! "{9EF34FF2-3396-4527-9D27-04C8C1C67806}" = "Microsoft AntiSpyware Service Hook"

  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft AntiSpyware\shellextension.dll" [MS]


HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\

"PDtvvfBF" = "{58A35554-F209-FFFE-EFDE-A6E875E7AD7C}"

  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\ec.dll" [null data]


HKLM\Software\Classes\*\shellex\ContextMenuHandlers\

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"

  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]


HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"

  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]


HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"

  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]



Active Desktop and Wallpaper:

-----------------------------


Active Desktop is disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


HKCU\Control Panel\Desktop\

"Wallpaper" = "C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Tapeta pulpitu.bmp"



Enabled Screen Saver:

---------------------


HKCU\Control Panel\Desktop\

"SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssstars.scr" [MS]



Winsock2 Service Provider DLLs:

-------------------------------


Namespace Service Providers


HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]


Transport Service Providers


HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05



Miscellaneous IE Hijack Points

------------------------------


C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")


Added lines (compared with English-language version):

(unwritable string)


Missing lines (compared with English-language version):

[Version]: 2 lines

[RestoreHomePage]: 1 line

[RestoreHomePage.reg]: 1 line

[RestoreBrowserSettings.reg]: 12 lines

[DeleteTemplates.reg]: 5 lines

[DeleteAutosearch.reg]: 1 line

[Strings]: 1 line

[RestoreBrowserSettings]: 2 lines

[Strings]: 3 lines



Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------


NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]

Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]

WMDM PMSP Service, WMDM PMSP Service, "C:\WINDOWS\system32\MsPMSPSv.exe" [MS]



----------

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

  launch it from a command prompt or a shortcut with the -all parameter.

+ The search for DESKTOP.INI DLL launch points on all local fixed drives

  took 39 seconds.

+ The search for all Registry CLSIDs containing dormant Explorer Bars

  took 15 seconds.

---------- (total run time: 74 seconds)

Gutek · 2006-02-13 17:42:09 UTC

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG i kliknij podwójnie potem restart kompa

onlybarca · 2006-02-13 17:49:00 UTC

nie no gutek jestes niesamowity, zrobilem to i co dalej - powiedz mi jeszcze czy ten wczesniejszy plik co mialem zapisac w notatniku to tez mialem wpisac nazwe FIX.REG ??? bo tak zrobilem, obydwa o nazwie FIX.REG … ok , co dalej???

Gutek · 2006-02-13 17:55:32 UTC

To był inny fix, a w Silencie zauważyłem jeszte to co uwaliłęś już powinno być Ok

onlybarca · 2006-02-13 18:01:05 UTC

czyli takim sposobem usunąłem te wszystkie spyware ??? :mrgreen: dzięki bo juz widze ze zadna reklamka mi nie wyskakuje