Proszę sprawdzić loga


(Losic) #1

Mam SpySheriffa, probowalem juz cos usunac ale do konca mi sie nie udalo. Mozecie sprawdzic co jeszcze jest nie tak...

Logfile of HijackThis v1.99.1

Scan saved at 23:24:37, on 2005-11-23

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

C:\WINDOWS\QW50b25pIFBhcmFkb3dza2k\command.exe

C:\WINDOWS\System32\DVDRAMSV.exe

C:\Program Files\MKS\Bin\mksmonsv.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\igfxtray.exe

C:\WINDOWS\System32\hkcmd.exe

C:\WINDOWS\System32\00THotkey.exe

C:\WINDOWS\LTSMMSG.exe

C:\Program Files\Apoint2K\Apoint.exe

C:\Program Files\TOSHIBA\TouchED\TouchED.Exe

C:\Program Files\TOSHIBA\PadTouch\PadExe.exe

C:\WINDOWS\System32\TFNF5.exe

C:\WINDOWS\System32\TPSMain.exe

C:\Program Files\TOSHIBA\TOSHIBA Controls\TFncKy.exe

C:\WINDOWS\System32\ezSP_Px.exe

C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe

C:\PROGRA~1\NEOSTR~1\CnxMon.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\WINDOWS\System32\ctfmon.exe

C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

C:\Program Files\MKS\Bin\mks_mail.exe

C:\Documents and Settings\Antoni Paradowski\Moje dokumenty\sandra\Winamp\winampa.exe

C:\windows\adtech2005.exe

C:\WINDOWS\system32\pwinlsaw.exe

C:\WINDOWS\System32\kernels32.exe

C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\winstall.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\MKS\Bin\mks_menu.exe

C:\RAMASST.exe

C:\WINDOWS\System32\TPSBattM.exe

C:\Program Files\Apoint2K\Apntex.exe

C:\WINDOWS\helper.exe

C:\WINDOWS\System32\vxh8jkdq1.exe

C:\WINDOWS\System32\vxh8jkdq2.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Internet Explorer\iexplore.exe

D:\dziadziaRe\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: (no name) - _{08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe

O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe

O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe

O4 - HKLM\..\Run: [PadTouch] "C:\Program Files\TOSHIBA\PadTouch\PadExe.exe

O4 - HKLM\..\Run: [TFNF5] TFNF5.exe

O4 - HKLM\..\Run: [TPSMain] TPSMain.exe

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe

O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe

O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe /StartUp

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe

O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

O4 - HKLM\..\Run: [autoclk] autoclk.exe

O4 - HKLM\..\Run: [MailScanner] C:\Program Files\MKS\Bin\mks_mail.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Documents and Settings\Antoni Paradowski\Moje dokumenty\sandra\Winamp\winampa.exe

O4 - HKLM\..\Run: [mIdRB] C:\WINDOWS\drytp.exe

O4 - HKLM\..\Run: [adtech2005] C:\windows\adtech2005.exe

O4 - HKLM\..\Run: [BrowserUpdateSched] C:\WINDOWS\system32\pwinlsaw.exe DREU02

O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [moqz] C:\Program Files\Common Files\moqz\moqzm.exe

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O4 - Startup: Zeno.lnk = C:\WINDOWS\system32\pwinlsaw.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Menu mks_vir.lnk = C:\Program Files\MKS\Bin\mks_menu.exe

O4 - Global Startup: RAMASST.lnk = C:\RAMASST.exe

O4 - Global Startup: Szybkie uruchamianie programu Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O14 - IERESET.INF: START_PAGE_URL=file:///C:\Program Files\TOSHIBA\Free Update Service\splash.html

O15 - Trusted IP range: 67.19.185.246

O20 - Winlogon Notify: IPConfTSP - C:\WINDOWS\system32\m4lsle371h.dll

O21 - SSODL: W32Time - {C4737B67-4D81-9128-3716-8806A25938EF} - C:\WINDOWS\help\mpnetwrk.hlp

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QW50b25pIFBhcmFkb3dza2k\command.exe

O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe

O23 - Service: MkSUpdateInt - MkS Sp. z o. o. - C:\Program Files\MKS\bin\MkSUpdateInt.exe

O23 - Service: MkS_Vir Monitor (MksVirMonSvc) - Unknown owner - C:\Program Files\MKS\Bin\mksmonsv.exe

O23 - Service: MkS_Scan - Unknown owner - C:\Program Files\MKS\Bin\mks_scan.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

(Gutek) #2

  1. Wyłączyć Przywracanie systemu w XP TU

  2. Zastartować do trybu awaryjnego bez internetu(opis w linku wyżej).

  3. Zaznaczyć wskazane wpisy w Hijacku i kliknąć Fix checked. Wpisy zostaną usunięte. Dodatkowo O15 może będzie stawiać opór więc ściągnij KillTrusted 0.7

  4. Skasować z dysku pliki i foldery, które podkreśliłem na czerwono

  5. Dokończyć skanerami online - Scanery do wyboru

  6. Pokazać nowy log :stuck_out_tongue:

023 - Start >>> Uruchom >>> services.msc >>> zatrzymaj i wyłącz Command Service folder po tym recznie

Użyj CWS.Systime Removal 3.5

Wpis R3 nie usuwasz hijackiem tylko usuniesz Registrar Lite, opis masz TUTAJ

Poczytaj Usuwanie VX2.BetterInternet i daj log nr 1 z narzędzia L2Mfix


(Gutek) #3

Użyj CWS.Systime Removal 3

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG

Start do z Konsoli Odzyskiwania CD XP i komendy:

CD C:\WINDOWS\system32

ATTRIB -R-S-H guard.tmp

ATTRIB -R-S-H appwiz.dll

ATTRIB -R-S-H atmtd.dll

ATTRIB -R-S-H djmclien.dll

ATTRIB -R-S-H dqeml.dll

ATTRIB -R-S-H fpnm0351e.dll

ATTRIB -R-S-H hpetwiz.dll

ATTRIB -R-S-H hr4q05h5e.dll

ATTRIB -R-S-H iplmgicd.dll

ATTRIB -R-S-H isss.dll

ATTRIB -R-S-H kwdcan.dll

ATTRIB -R-S-H l68m0gl1e6q.dll

ATTRIB -R-S-H lv4q09h5e.dll

ATTRIB -R-S-H mhdxmlc.dll

ATTRIB -R-S-H mncorier.dll

ATTRIB -R-S-H p0p6la~1.dll

ATTRIB -R-S-H pdfmgr.dll

ATTRIB -R-S-H pdwave.dll

ATTRIB -R-S-H uaandlg.dll

ATTRIB -R-S-H wai.dll

ATTRIB -R-S-H zlbw.dll

DEL guard.tmp

DEL appwiz.dll

DEL atmtd.dll

DEL djmclien.dll

DEL dqeml.dll

DEL fpnm0351e.dll

DEL hpetwiz.dll

DEL hr4q05h5e.dll

DEL iplmgicd.dll

DEL isss.dll

DEL kwdcan.dll

DEL l68m0gl1e6q.dll

DEL lv4q09h5e.dll

DEL mhdxmlc.dll

DEL mncorier.dll

DEL p0p6la7s1d.dll

DEL pdfmgr.dll

DEL pdwave.dll

DEL uaandlg.dll

DEL wai.dll

DEL zlbw.dll

EXIT

Przejście do trybu awaryjnego Windows i uruchomienie pliku FIX.REG. Dajesz mi nowego loga L2MFix robionego z opcji 1.


(Losic) #4

Zrobiłem co mogłem. Niestety system nie mógł znaleźć plików:

mncorier.dll

hr4q05h5e.dll

Co do "CWS.Systime Removal 3" to nie wiem czy to cokolwiek robi, bo po wybraniu opcji "Scan and Fix" jest napisane:

"Resetting IE Pages... (HKCU)

Resetting IE Pages... (HKLM)"

i nic się nie dzieje... :confused:

Oto log:


(Gutek) #5

No niebawem koniec:

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG

Start do z Konsoli Odzyskiwania CD XP i komendy:

CD C:\WINDOWS\system32

ATTRIB -R-S-H uhrvpa.dll

ATTRIB -R-S-H mwwmdmsp.dll

ATTRIB -R-S-H cyyptsvc.dll

ATTRIB -R-S-H mwwmdmsp.dll

ATTRIB -R-S-H s0pu0a79ed.dll

ATTRIB -R-S-H ztoolb~1.dll

ATTRIB -R-S-H zolker~1.dll

DEL uhrvpa.dll

DEL mwwmdmsp.dll

DEL cyyptsvc.dll

DEL m628lgfu1628.dll

DEL s0pu0a79ed.dll

DEL mwwmdmsp.dll

DEL ztoolb~1.dll

DEL zolker~1.dll

EXIT

Przejście do trybu awaryjnego Windows i uruchomienie pliku FIX.REG. Dajesz mi nowego loga L2MFix robionego z opcji 1.


(Losic) #6

Log:


(Gutek) #7

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG

Start do z Konsoli Odzyskiwania CD XP i komendy:

CD C:\WINDOWS\system32

ATTRIB -R-S-H en60l1jm1.dll

ATTRIB -R-S-H ojbctrac.dll

ATTRIB -R-S-H mv08l9du1.dll

ATTRIB -R-S-H TDSTrace.dll

ATTRIB -R-S-H ojbctrac.dll

ATTRIB -R-S-H aEaamon.dll

ATTRIB -R-S-H o284lclq1fqe.dll

DEL en60l1jm1.dll

DEL ojbctrac.dll

DEL mv08l9du1.dll

DEL TDSTrace.dll

DEL ojbctrac.dll

DEL aEaamon.dll

DEL o284lclq1fqe.dll

EXIT

Przejście do trybu awaryjnego Windows i uruchomienie pliku FIX.REG. Dajesz mi nowego loga L2MFix robionego z opcji 1.


(Losic) #8

Nastepny log...


(Gutek) #9

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG

Start do z Konsoli Odzyskiwania CD XP i komendy:

CD C:\WINDOWS\system32

ATTRIB -R-S-H pmrfctrs.dll

ATTRIB -R-S-H lv6609jse.dll

ATTRIB -R-S-H mgaatext.dll

DEL pmrfctrs.dll

DEL lv6609jse.dll

DEL mgaatext.dll

EXIT

Przejście do trybu awaryjnego Windows i uruchomienie pliku FIX.REG. Dajesz mi nowego loga L2MFix robionego z opcji 1.

jeszcze trochę widzisz wszedłeś na neta o 00:32 - 00:57 i jeszcze 3 ściagło syfy


(Losic) #10

Sęk w tym, ze ten komputer nie jest podlaczony do neta :confused:

Moj dziadek przyniosl mi do domu swojego laptopa zebym usunal z niego SpySheriffa. Przez caly czas jak go teraz usuwam, laptop nie byl podlaczony do netu :confused:


(Gutek) #11

No sorki nie wiem jak to możliwe aby łapał syf, zobacz na datę: 2005-11-26 00:57 - pmrfctrs.dll widzisz godzinę, ktoś korzystał :wink:


(Losic) #12

Ja juz chyba trace cierpliwosc :frowning:

Nie mogłem usunąć mgaatext.dll i pmrfctrs.dll

Po włączeniu trybu aw. znow uzyłem L2MFix i teraz pokazuje:

(fragment)


(Gutek) #13

To nie jest pełny log spróbuj jeszcze raz :wink:


(Losic) #14

No dobra. Wklejam:


(Gutek) #15

USUWANIE:

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG

Start do z Konsoli Odzyskiwania CD XP i komendy:

CD C:\WINDOWS\system32

ATTRIB -R-S-H mxacm32.dll

ATTRIB -R-S-H ktnql7551.dll

ATTRIB -R-S-H kldda.dll

ATTRIB -R-S-H fp0603dse.dll

ATTRIB -R-S-H nxvdmd.dll

DEL mxacm32.dll

DEL ktnql7551.dll

DEL kldda.dll

DEL fp0603dse.dll

DEL nxvdmd.dll

EXIT

Przejście do trybu awaryjnego Windows i uruchomienie pliku FIX.REG. Dajesz mi nowego loga L2MFix robionego z opcji 1.

Jak nadal bedzie problem zapisz w nagłowku REGEDIT4 zamiast Windows Registry Editor Version 5.00


(Losic) #16

(Gutek) #17

USUWANIE:

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG

Start do z Konsoli Odzyskiwania CD XP i komendy:

CD C:\WINDOWS\system32

ATTRIB -R-S-H dcvoice.dll

ATTRIB -R-S-H IZIresizePX.dll

ATTRIB -R-S-H kt66l7js1.dll

ATTRIB -R-S-H isuv_32.dll

DEL dcvoice.dll

DEL IZIresizePX.dll

DEL kt66l7js1.dll

DEL isuv_32.dll

EXIT

Przejście do trybu awaryjnego Windows i uruchomienie pliku FIX.REG. Dajesz mi nowego loga L2MFix robionego z opcji 1.


(Losic) #18

Z przykroscia stwierdzam ze to nie dla mnie...

Bardzo Ci dziękuję Gutek2222 ale juz dalej nie moge.

Zauważyłem że te dll-le tworzą się i zmieniają przy każdym uruchomieniu systemu. Wiem że się na tym tak dobrze nie znam, ale tym sposobem tego problemu nie rozwiążę :frowning:

Wiem że mam tu problem z winlogonem i ustawieniem strony startowej przeglądarki. Niestety za choinke nie udaje mi się tego naprawić.

Dlatego też kończę tą zabawę póki zachowały sie we mnie resztki cierpliwości :frowning: Jeszcze raz dziękuję Gutek2222.

Pozdro