eGreko
(eGreko)
8 Grudzień 2005 16:04
#1
Pomocy!
Zaczeło się od kiedy założyłem neostrade.Od czasu do czasu (średnio raz dziennie) odłączał
sie internet i w Połączeniach sieciowych tworzyło sie połączenie Connessione Predefinita i
kilka skrótów “exsplorer” m.in. na pulpicie, w moich dokumentach, w menu start …Po
usunięciu tego wszystkiego był chwilowy spokój.Czasami przed utworzeniem się Connessione
Predefinita wyskakiwało okienko "Wystąpił problem z aplikacją SERVICES.EXE i zostanie ona
zamknięta." Po zaktualizowaniu się AVASTA wykrył on że jest to trojan win32:agent-ey który
zaraził SERVICES.EXE. Zacząłem go poddawać kwarantannie, naprawiać za pomocą a-squared start
center.I tu się zaczeło:
Po zresetowaniu i każdym włączeniu kompa.
Najpierw wyskakiwało "Ścieżka c:\windows\services.exe nie istnieje lub nie określa
katalogu."
Po kliknieciu OK:
"System windows nie może odnależć pliku c\windows\services.exe.Upewnij sie że wpisana nazwa
jest poprawna i spróbuj ponownie.Aby wyszukać plik, kliknij Start, a nastepnie kliknij
polecenie Wyszukaj."
Gdy skopiuje plik c\windows\system32\serwices.exe do c\windows\ to wyskakuje:
“Czy chcesz uruchomić plik czy zapisać go?” Mam do wyboru Uruchom Zapisz Anuluj.
Itak po każdym włączeniu kompa.
Pomóż.
Log z Hijack’a
Logfile of HijackThis v1.99.1 Scan saved at 17:04:29, on 2005-12-08 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\Explorer.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\WINDOWS\system32\RunDll32.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe C:\Program Files\Winamp\winampa.exe F:\Programy\Nokia Pc Suite\Nokia PC Suite 6\LaunchApplication.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE C:\Program Files\D-Tools\daemon.exe C:\PROGRA~1\NEOSTR~1\CnxMon.exe C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Common Files\Totem Shared\Uninstall0001\upd.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ctfmon.exe F:\Programy\Nokia Pc Suite\Nokia PC Suite 6\PcSync2.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Ares\Ares.exe C:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Program Files\Neostrada TP\NeostradaTP.exe C:\Program Files\Neostrada TP\ComComp.exe C:\Program Files\Neostrada TP\Watch.exe C:\Program Files\Mozilla Firefox\firefox.exe F:\Programy\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.skymasters.biz?296 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\SERVICES.EXE F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe O1 - Hosts: 127.0.0.3 http://www.onedayoffer.biz O1 - Hosts: 127.0.0.3 onedayoffer.biz O1 - Hosts: 127.0.0.3 callmachine.net O1 - Hosts: 127.0.0.3 http://www.callmachine.net O1 - Hosts: 127.0.0.3 reportbucks.com O1 - Hosts: 127.0.0.3 http://www.reportbucks.com O1 - Hosts: 127.0.0.3 isuckall.com O1 - Hosts: 127.0.0.3 http://www.isuckall.com O1 - Hosts: 127.0.0.3 wbdialer.biz O1 - Hosts: 127.0.0.3 http://www.wbdialer.biz O1 - Hosts: 127.0.0.3 alphadialer.com O1 - Hosts: 127.0.0.3 http://www.alphadialer.com O1 - Hosts: 127.0.0.3 it.online-more.com O1 - Hosts: 127.0.0.3 http://www.it.online-more.com O1 - Hosts: 127.0.0.3 statscash.net O1 - Hosts: 127.0.0.3 http://www.statscash.net O1 - Hosts: 127.0.0.3 85.255.113.242 O1 - Hosts: 127.0.0.3 takeyourbucks.com O1 - Hosts: 127.0.0.3 http://www.takeyourbucks.com O1 - Hosts: 127.0.0.3 195.225.176.25 O1 - Hosts: 127.0.0.3 iframebiz.biz O1 - Hosts: 127.0.0.3 iframeurl.biz O1 - Hosts: 127.0.0.3 iframesite.biz O1 - Hosts: 127.0.0.3 toolbarbiz.biz O1 - Hosts: 127.0.0.3 toolbarsite.biz O1 - Hosts: 127.0.0.3 toolbarurl.biz O1 - Hosts: 127.0.0.3 toolbartraff.biz O1 - Hosts: 127.0.0.3 buytoolbar.biz O1 - Hosts: 127.0.0.3 http://www.iframebiz.biz O1 - Hosts: 127.0.0.3 http://www.iframeurl.biz O1 - Hosts: 127.0.0.3 http://www.iframesite.biz O1 - Hosts: 127.0.0.3 http://www.toolbarbiz.biz O1 - Hosts: 127.0.0.3 http://www.toolbarsite.biz O1 - Hosts: 127.0.0.3 http://www.toolbarurl.biz O1 - Hosts: 127.0.0.3 http://www.toolbartraff.biz O1 - Hosts: 127.0.0.3 http://www.buytoolbar.biz O1 - Hosts: 127.0.0.3 81.9.5.9 O1 - Hosts: 127.0.0.3 procounter.biz O1 - Hosts: 127.0.0.3 http://www.procounter.biz O1 - Hosts: 127.0.0.3 advadmin.biz O1 - Hosts: 127.0.0.3 http://www.advadmin.biz O1 - Hosts: 127.0.0.3 trafficbest.net O1 - Hosts: 127.0.0.3 http://www.trafficbest.net O1 - Hosts: 127.0.0.3 http://www.vparivalka.com O1 - Hosts: 127.0.0.3 iframeprofit.com O1 - Hosts: 127.0.0.3 http://www.iframeprofit.com O1 - Hosts: 127.0.0.3 topsearch10.com O1 - Hosts: 127.0.0.3 http://www.topsearch10.com O1 - Hosts: 127.0.0.3 statscash.biz O1 - Hosts: 127.0.0.3 http://www.statscash.biz O1 - Hosts: 127.0.0.3 vxiframe.biz O1 - Hosts: 127.0.0.3 http://www.vxiframe.biz O1 - Hosts: 127.0.0.3 crazy-toolbar.com O1 - Hosts: 127.0.0.3 http://www.crazy-toolbar.com O1 - Hosts: 127.0.0.3 topcash.biz O1 - Hosts: 127.0.0.3 http://www.topcash.biz O1 - Hosts: 127.0.0.3 loadcash.biz O1 - Hosts: 127.0.0.3 http://www.loadcash.biz O1 - Hosts: 127.0.0.3 txiframe.biz O1 - Hosts: 127.0.0.3 http://www.txiframe.biz O1 - Hosts: 127.0.0.3 besthvac.com O1 - Hosts: 127.0.0.3 http://www.besthvac.com O1 - Hosts: 127.0.0.3 traff4.com O1 - Hosts: 127.0.0.3 http://www.traff4.com O1 - Hosts: 127.0.0.3 porn-host.org O1 - Hosts: 127.0.0.3 http://www.porn-host.org O1 - Hosts: 127.0.0.3 http://www.symantec.com O1 - Hosts: 127.0.0.3 http://www.sarc.com O1 - Hosts: 127.0.0.3 http://www.pandasoftware.com O1 - Hosts: 127.0.0.3 symantec.com O1 - Hosts: 127.0.0.3 pandasoftware.com O1 - Hosts: 127.0.0.3 ad.doubleclick.net O1 - Hosts: 127.0.0.3 ad.fastclick.net O1 - Hosts: 127.0.0.3 ads.fastclick.net O1 - Hosts: 127.0.0.3 ar.atwola.com O1 - Hosts: 127.0.0.3 atdmt.com O1 - Hosts: 127.0.0.3 awaps.net O1 - Hosts: 127.0.0.3 banner.fastclick.net O1 - Hosts: 127.0.0.3 banners.fastclick.net O1 - Hosts: 127.0.0.3 click.atdmt.com O1 - Hosts: 127.0.0.3 clicks.atdmt.com O1 - Hosts: 127.0.0.3 engine.awaps.net O1 - Hosts: 127.0.0.3 fastclick.net O1 - Hosts: 127.0.0.3 media.fastclick.net O1 - Hosts: 127.0.0.3 securityresponse.symantec.com O1 - Hosts: 127.0.0.3 spd.atdmt.com O1 - Hosts: 127.0.0.3 http://www.fastclick.net O1 - Hosts: 127.0.0.3 http://www.viruslist.ru O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programy\Adobe Reader\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_98.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Program Files\QuickSearch\QuickSearchBar1_27.dll (file missing) O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Program Files\QuickSearch\QuickSearchBar1_27.dll (file missing) O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [iSUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM…\Run: [iSUSScheduler] “C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe” -start O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [PCSuiteTrayApplication] F:\Programy\Nokia Pc Suite\Nokia PC Suite 6\LaunchApplication.exe -onlytray O4 - HKLM…\Run: [DataLayer] C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe O4 - HKLM…\Run: [DAEMON Tools-1033] “C:\Program Files\D-Tools\daemon.exe” -lang 1033 O4 - HKLM…\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe O4 - HKLM…\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe O4 - HKLM…\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM…\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe O4 - HKLM…\Run: [uninstall0001] “C:\Program Files\Common Files\Totem Shared\Uninstall0001\upd.exe” LASTCALL!adverts.mp3dancer.com !StatsMP3Dancer O4 - HKLM…\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s O4 - HKLM…\Run: [bHR3.5] C:\Program Files\Zamaan’s Software\Browser Hijack Retaliator 3.5\BHR3.5.exe O4 - HKLM…\Run: [sERVICES.EXE] C:\WINDOWS\SERVICES.EXE O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [PcSync] F:\Programy\Nokia Pc Suite\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [ares] “C:\Program Files\Ares\Ares.exe” -h O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O15 - Trusted Zone: http://www.archiviosex.net O15 - Trusted Zone: http://www.linkautomatici.com O15 - Trusted Zone: http://www.redfunny.com O15 - Trusted Zone: http://www.skymasters.biz O17 - HKLM\System\CCS\Services\Tcpip…{6C9DD300-C55E-46BA-BE66-60A8077C8E6A}: NameServer = 194.204.152.34 217.98.63.164 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
Gutek
(Gutek)
8 Grudzień 2005 16:27
#2
Uważnie usuwaj pliki!
LSP-Fix usuniesz wpisy 010 TU odpal LSP-Fix zaznacz “I know what I’m doing” następnie w okienku Keep zaznacz plik newdotnet6_98.dll i za pomocą strzałki () przenieś go do okienka Remover i kliknij Finish
Wyłączyć Przywracanie systemu w XP TU
Zastartować do trybu awaryjnego bez internetu(opis w linku wyżej).
Zaznaczyć wskazane wpisy w Hijacku i kliknąć Fix checked. Wpisy zostaną usunięte. Dodatkowo O15 może będzie stawiać opór więc ściągnij KillTrusted 0.7
Skasować z dysku pliki i foldery, które podkreśliłem na czerwono
Dokończyć skanerami online - Scanery do wyboru
Pokazać nowy log
eGreko
(eGreko)
10 Grudzień 2005 21:22
#3
Niestety po wyjściu z trybu awaryjnego komputer nie mógł się zalogować.Nie obyło się bez formata.Przynajmniej próbowałeś.
Gutek
(Gutek)
11 Grudzień 2005 12:00
#4
Właśnie, uwżnie usuwaj pliki, pewnie coś namieszałeś
eGreko
(eGreko)
11 Grudzień 2005 16:51
#5
Pewnie tak ale po formacie dużo lepiej(szybciej) chodzi.
Złączono Posta : 14.12.2005 (Sro) 18:14
Mam jeszcze taki problem.Jak włączam GTASA to się komp resetuje.Dlaczego??? I jak to naprawić?
Złączono Posta : 14.12.2005 (Sro) 18:15
Mam jeszcze taki problem.Jak włączam GTASA to się komp resetuje.Dlaczego??? I jak to naprawić?