luser17
(Losic)
23 Listopad 2005 22:27
#1
Mam SpySheriffa, probowalem juz cos usunac ale do konca mi sie nie udalo. Mozecie sprawdzic co jeszcze jest nie tak…
Logfile of HijackThis v1.99.1
Scan saved at 23:24:37, on 2005-11-23
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\QW50b25pIFBhcmFkb3dza2k\command.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Program Files\MKS\Bin\mksmonsv.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\LTSMMSG.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
C:\WINDOWS\System32\TFNF5.exe
C:\WINDOWS\System32\TPSMain.exe
C:\Program Files\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe
C:\PROGRA~1\NEOSTR~1\CnxMon.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
C:\Program Files\MKS\Bin\mks_mail.exe
C:\Documents and Settings\Antoni Paradowski\Moje dokumenty\sandra\Winamp\winampa.exe
C:\windows\adtech2005.exe
C:\WINDOWS\system32\pwinlsaw.exe
C:\WINDOWS\System32\kernels32.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\winstall.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\MKS\Bin\mks_menu.exe
C:\RAMASST.exe
C:\WINDOWS\System32\TPSBattM.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\helper.exe
C:\WINDOWS\System32\vxh8jkdq1.exe
C:\WINDOWS\System32\vxh8jkdq2.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\dziadziaRe\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: (no name) - _{08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [PadTouch] "C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
O4 - HKLM\..\Run: [autoclk] autoclk.exe
O4 - HKLM\..\Run: [MailScanner] C:\Program Files\MKS\Bin\mks_mail.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Documents and Settings\Antoni Paradowski\Moje dokumenty\sandra\Winamp\winampa.exe
O4 - HKLM\..\Run: [mIdRB] C:\WINDOWS\drytp.exe
O4 - HKLM\..\Run: [adtech2005] C:\windows\adtech2005.exe
O4 - HKLM\..\Run: [BrowserUpdateSched] C:\WINDOWS\system32\pwinlsaw.exe DREU02
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [moqz] C:\Program Files\Common Files\moqz\moqzm.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - Startup: Zeno.lnk = C:\WINDOWS\system32\pwinlsaw.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Menu mks_vir.lnk = C:\Program Files\MKS\Bin\mks_menu.exe
O4 - Global Startup: RAMASST.lnk = C:\RAMASST.exe
O4 - Global Startup: Szybkie uruchamianie programu Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=file:///C:\Program Files\TOSHIBA\Free Update Service\splash.html
O15 - Trusted IP range: 67.19.185.246
O20 - Winlogon Notify: IPConfTSP - C:\WINDOWS\system32\m4lsle371h.dll
O21 - SSODL: W32Time - {C4737B67-4D81-9128-3716-8806A25938EF} - C:\WINDOWS\help\mpnetwrk.hlp
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QW50b25pIFBhcmFkb3dza2k\command.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: MkSUpdateInt - MkS Sp. z o. o. - C:\Program Files\MKS\bin\MkSUpdateInt.exe
O23 - Service: MkS_Vir Monitor (MksVirMonSvc) - Unknown owner - C:\Program Files\MKS\Bin\mksmonsv.exe
O23 - Service: MkS_Scan - Unknown owner - C:\Program Files\MKS\Bin\mks_scan.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
Gutek
(Gutek)
23 Listopad 2005 22:39
#2
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php R3 - URLSearchHook: (no name) - _{08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file) O4 - HKLM…\Run: [mIdRB] C:\WINDOWS\drytp.exe O4 - HKLM…\Run: [adtech2005] C:\windows\adtech2005.exe O4 - HKLM…\Run: [browserUpdateSched] C:\WINDOWS\system32\pwinlsaw.exe DREU02 O4 - HKLM…\Run: [system] C:\WINDOWS\System32\kernels32.exe O4 - HKCU…\Run: [moqz] C:\Program Files\Common Files\moqz\moqzm.exe O4 - HKCU…\Run: [Windows installer] C:\winstall.exe O4 - Startup: Zeno.lnk = C:\WINDOWS\system32\pwinlsaw.exepwinlsaw.exe O15 - Trusted IP range: 67.19.185.246 O20 - Winlogon Notify: IPConfTSP - C:\WINDOWS\system32\m4lsle371h.dll O21 - SSODL: W32Time - {C4737B67-4D81-9128-3716-8806A25938EF} - C:\WINDOWS\help\mpnetwrk.hlp O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QW50b25pIFBhcmFkb3dza2k\command.exe
Wyłączyć Przywracanie systemu w XP TU
Zastartować do trybu awaryjnego bez internetu(opis w linku wyżej).
Zaznaczyć wskazane wpisy w Hijacku i kliknąć Fix checked. Wpisy zostaną usunięte. Dodatkowo O15 może będzie stawiać opór więc ściągnij KillTrusted 0.7
Skasować z dysku pliki i foldery, które podkreśliłem na czerwono
Dokończyć skanerami online - Scanery do wyboru
Pokazać nowy log
023 - Start >>> Uruchom >>> services.msc >>> zatrzymaj i wyłącz Command Service folder po tym recznie
Użyj CWS.Systime Removal 3.5
Wpis R3 nie usuwasz hijackiem tylko usuniesz Registrar Lite , opis masz TUTAJ
Poczytaj Usuwanie VX2.BetterInternet i daj log nr 1 z narzędzia L2Mfix
Gutek
(Gutek)
24 Listopad 2005 00:30
#3
Użyj CWS.Systime Removal 3
Otwórz Notatnik i wklej w nim to:
Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG
Start do z Konsoli Odzyskiwania CD XP i komendy:
CD C:\WINDOWS\system32
ATTRIB -R-S-H guard.tmp
ATTRIB -R-S-H appwiz.dll
ATTRIB -R-S-H atmtd.dll
ATTRIB -R-S-H djmclien.dll
ATTRIB -R-S-H dqeml.dll
ATTRIB -R-S-H fpnm0351e.dll
ATTRIB -R-S-H hpetwiz.dll
ATTRIB -R-S-H hr4q05h5e.dll
ATTRIB -R-S-H iplmgicd.dll
ATTRIB -R-S-H isss.dll
ATTRIB -R-S-H kwdcan.dll
ATTRIB -R-S-H l68m0gl1e6q.dll
ATTRIB -R-S-H lv4q09h5e.dll
ATTRIB -R-S-H mhdxmlc.dll
ATTRIB -R-S-H mncorier.dll
ATTRIB -R-S-H p0p6la~1.dll
ATTRIB -R-S-H pdfmgr.dll
ATTRIB -R-S-H pdwave.dll
ATTRIB -R-S-H uaandlg.dll
ATTRIB -R-S-H wai.dll
ATTRIB -R-S-H zlbw.dll
DEL guard.tmp
DEL appwiz.dll
DEL atmtd.dll
DEL djmclien.dll
DEL dqeml.dll
DEL fpnm0351e.dll
DEL hpetwiz.dll
DEL hr4q05h5e.dll
DEL iplmgicd.dll
DEL isss.dll
DEL kwdcan.dll
DEL l68m0gl1e6q.dll
DEL lv4q09h5e.dll
DEL mhdxmlc.dll
DEL mncorier.dll
DEL p0p6la7s1d.dll
DEL pdfmgr.dll
DEL pdwave.dll
DEL uaandlg.dll
DEL wai.dll
DEL zlbw.dll
EXIT
Przejście do trybu awaryjnego Windows i uruchomienie pliku FIX.REG . Dajesz mi nowego loga L2MFix robionego z opcji 1.
luser17
(Losic)
25 Listopad 2005 22:41
#4
Zrobiłem co mogłem. Niestety system nie mógł znaleźć plików:
mncorier.dll
hr4q05h5e.dll
Co do “CWS.Systime Removal 3” to nie wiem czy to cokolwiek robi, bo po wybraniu opcji “Scan and Fix” jest napisane:
"Resetting IE Pages… (HKCU)
Resetting IE Pages… (HKLM)"
i nic się nie dzieje…
Oto log:
Gutek
(Gutek)
25 Listopad 2005 22:52
#5
No niebawem koniec:
Otwórz Notatnik i wklej w nim to:
Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG
Start do z Konsoli Odzyskiwania CD XP i komendy:
CD C:\WINDOWS\system32
ATTRIB -R-S-H uhrvpa.dll
ATTRIB -R-S-H mwwmdmsp.dll
ATTRIB -R-S-H cyyptsvc.dll
ATTRIB -R-S-H mwwmdmsp.dll
ATTRIB -R-S-H s0pu0a79ed.dll
ATTRIB -R-S-H ztoolb~1.dll
ATTRIB -R-S-H zolker~1.dll
DEL uhrvpa.dll
DEL mwwmdmsp.dll
DEL cyyptsvc.dll
DEL m628lgfu1628.dll
DEL s0pu0a79ed.dll
DEL mwwmdmsp.dll
DEL ztoolb~1.dll
DEL zolker~1.dll
EXIT
Przejście do trybu awaryjnego Windows i uruchomienie pliku FIX.REG . Dajesz mi nowego loga L2MFix robionego z opcji 1.
Gutek
(Gutek)
25 Listopad 2005 23:40
#7
Otwórz Notatnik i wklej w nim to:
Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG
Start do z Konsoli Odzyskiwania CD XP i komendy:
CD C:\WINDOWS\system32
ATTRIB -R-S-H en60l1jm1.dll
ATTRIB -R-S-H ojbctrac.dll
ATTRIB -R-S-H mv08l9du1.dll
ATTRIB -R-S-H TDSTrace.dll
ATTRIB -R-S-H ojbctrac.dll
ATTRIB -R-S-H aEaamon.dll
ATTRIB -R-S-H o284lclq1fqe.dll
DEL en60l1jm1.dll
DEL ojbctrac.dll
DEL mv08l9du1.dll
DEL TDSTrace.dll
DEL ojbctrac.dll
DEL aEaamon.dll
DEL o284lclq1fqe.dll
EXIT
Przejście do trybu awaryjnego Windows i uruchomienie pliku FIX.REG . Dajesz mi nowego loga L2MFix robionego z opcji 1.
Gutek
(Gutek)
26 Listopad 2005 09:38
#9
Otwórz Notatnik i wklej w nim to:
Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG
Start do z Konsoli Odzyskiwania CD XP i komendy:
CD C:\WINDOWS\system32
ATTRIB -R-S-H pmrfctrs.dll
ATTRIB -R-S-H lv6609jse.dll
ATTRIB -R-S-H mgaatext.dll
DEL pmrfctrs.dll
DEL lv6609jse.dll
DEL mgaatext.dll
EXIT
Przejście do trybu awaryjnego Windows i uruchomienie pliku FIX.REG . Dajesz mi nowego loga L2MFix robionego z opcji 1.
jeszcze trochę widzisz wszedłeś na neta o 00:32 - 00:57 i jeszcze 3 ściagło syfy
luser17
(Losic)
26 Listopad 2005 10:07
#10
Sęk w tym, ze ten komputer nie jest podlaczony do neta
Moj dziadek przyniosl mi do domu swojego laptopa zebym usunal z niego SpySheriffa. Przez caly czas jak go teraz usuwam, laptop nie byl podlaczony do netu
Gutek
(Gutek)
26 Listopad 2005 10:22
#11
No sorki nie wiem jak to możliwe aby łapał syf, zobacz na datę: 2005-11-26 00:57 - pmrfctrs.dll widzisz godzinę, ktoś korzystał
luser17
(Losic)
26 Listopad 2005 22:23
#12
Ja juz chyba trace cierpliwosc
Nie mogłem usunąć mgaatext.dll i pmrfctrs.dll
Po włączeniu trybu aw. znow uzyłem L2MFix i teraz pokazuje:
(fragment)
Gutek
(Gutek)
27 Listopad 2005 00:46
#13
To nie jest pełny log spróbuj jeszcze raz
Gutek
(Gutek)
28 Listopad 2005 00:05
#15
USUWANIE:
Otwórz Notatnik i wklej w nim to:
Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG
Start do z Konsoli Odzyskiwania CD XP i komendy:
CD C:\WINDOWS\system32
ATTRIB -R-S-H mxacm32.dll
ATTRIB -R-S-H ktnql7551.dll
ATTRIB -R-S-H kldda.dll
ATTRIB -R-S-H fp0603dse.dll
ATTRIB -R-S-H nxvdmd.dll
DEL mxacm32.dll
DEL ktnql7551.dll
DEL kldda.dll
DEL fp0603dse.dll
DEL nxvdmd.dll
EXIT
Przejście do trybu awaryjnego Windows i uruchomienie pliku FIX.REG . Dajesz mi nowego loga L2MFix robionego z opcji 1.
Jak nadal bedzie problem zapisz w nagłowku REGEDIT4 zamiast Windows Registry Editor Version 5.00
Gutek
(Gutek)
28 Listopad 2005 15:49
#17
USUWANIE:
Otwórz Notatnik i wklej w nim to:
Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG
Start do z Konsoli Odzyskiwania CD XP i komendy:
CD C:\WINDOWS\system32
ATTRIB -R-S-H dcvoice.dll
ATTRIB -R-S-H IZIresizePX.dll
ATTRIB -R-S-H kt66l7js1.dll
ATTRIB -R-S-H isuv_32.dll
DEL dcvoice.dll
DEL IZIresizePX.dll
DEL kt66l7js1.dll
DEL isuv_32.dll
EXIT
Przejście do trybu awaryjnego Windows i uruchomienie pliku FIX.REG . Dajesz mi nowego loga L2MFix robionego z opcji 1.
luser17
(Losic)
28 Listopad 2005 20:32
#18
Z przykroscia stwierdzam ze to nie dla mnie…
Bardzo Ci dziękuję Gutek2222 ale juz dalej nie moge.
Zauważyłem że te dll-le tworzą się i zmieniają przy każdym uruchomieniu systemu. Wiem że się na tym tak dobrze nie znam, ale tym sposobem tego problemu nie rozwiążę
Wiem że mam tu problem z winlogonem i ustawieniem strony startowej przeglądarki. Niestety za choinke nie udaje mi się tego naprawić.
Dlatego też kończę tą zabawę póki zachowały sie we mnie resztki cierpliwości Jeszcze raz dziękuję Gutek2222.
Pozdro