system
(system)
28 Grudzień 2006 09:30
#1
mam wirusa omawianego we wczesniejszych postach (problemy z internetem i z komunikatorami). Zamieszczam loga oraz prosze o wyjasnienia co zrobic w hijackthis (wyjasnienia dla kompletnego laika)
Logfile of HijackThis v1.99.1 Scan saved at 14:49:10, on 2006-12-27 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\explorer.exe C:\Program Files\Opera\Opera.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Kuba.JAKUB-91Y8P7GI4\Pulpit\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=50162 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kurnik.pl/kierki R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50162 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50162 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = £¹cza R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\webdlg32.dll (file missing) F2 - REG:system.ini: Shell=explorer.exe “C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00025.exe” O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll (file missing) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\webdlg32.dll (file missing) O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet7_22.dll (file missing) O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll (file missing) O2 - BHO: Pop Class - {A9AEE0DD-89E1-40EE-8749-A18650CC2175} - C:\WINDOWS\winsx.dll (file missing) O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\webdlg32.dll (file missing) O4 - HKLM…\Run: [CMESys] “C:\Program Files\Common Files\CMEII\CMESys.exe” O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot O4 - HKLM…\Run: [internet Optimizer] “C:\Program Files\Internet Optimizer\optimize.exe” O4 - HKLM…\Run: [PayTime] C:\WINDOWS\System32\paytime.exe O4 - HKLM…\Run: [saap] c:\program files\180search assistant\saap.exe O4 - HKLM…\Run: [WinTools] C:\PROGRA~1\COMMON~1\WinTools\WToolsA.exe O4 - HKLM…\Run: [zqdwx] C:\WINDOWS\zqdwx.exe O4 - HKLM…\Run: [surfSideKick 2] C:\Program Files\SurfSideKick 2\Ssk.exe O4 - HKLM…\Run: [bullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe O4 - HKLM…\Run: [ntddetect] C:\WINDOWS\System32\ntddetect.exe O4 - HKLM…\Run: [service Host] C:\WINDOWS\System32\Services{961B56A6-345D-436E-8E5E-07F65E1FA530}\SVCHOST.EXE O4 - HKLM…\Run: [sp] rundll32 C:\DOCUME~1\KUBA~1.JAK\USTAWI~1\Temp\se.dll,DllInstall O4 - HKLM…\Run: [MouseDrv] C:\DOCUME~1\KUBA~1.JAK\USTAWI~1\Temp\link.txt O4 - HKLM…\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s O4 - HKLM…\Run: [ssAAD.exe] E:\PROGRA~1\Sony\SsAAD.exe O4 - HKLM…\RunServices: [ntddetect] C:\WINDOWS\System32\ntddetect.exe O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [PayTime] C:\WINDOWS\System32\paytime.exe O4 - HKCU…\Run: [surfSideKick 2] C:\Program Files\SurfSideKick 2\Ssk.exe O4 - HKCU…\Run: [ntddetect] C:\WINDOWS\System32\ntddetect.exe O4 - HKCU…\Run: [system] C:\WINDOWS\svchost.exe O4 - HKCU…\Run: [MouseDrv] C:\DOCUME~1\KUBA~1.JAK\USTAWI~1\Temp\link.txt O4 - HKCU…\Run: [shell] “C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00025.exe” O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe O4 - Global Startup: Uninstall.exe O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O10 - Broken Internet access because of LSP provider ‘c:\program files\newdotnet\newdotnet7_22.dll’ missing O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) - http://bezpieczenstwo.onet.pl/skaner/ArcaOnline.cab O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MainControl Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab O17 - HKLM\System\CCS\Services\Tcpip…{66D7BA28-A49F-44C3-B181-8A1818D913C0}: NameServer = 85.128.59.114,213.134.128.20 O17 - HKLM\System\CCS\Services\Tcpip…{FE0F8DE7-8708-492F-85B2-511EB8EEA881}: NameServer = 213.134.128.20,85.128.59.114 O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll O20 - Winlogon Notify: ntfs32 - ntfs32.dll (file missing) O21 - SSODL: Web Event Logger - {7CFBACFF-EE01-1231-ABDD-416592E5D639} - C:\WINDOWS\System32\Nchdin32.dll (file missing) O23 - Service: Provides three management service (FreeBSD) - Unknown owner - C:\WINDOWS\System32\dev32.exe (file missing) O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: Provides five management service (NetBSD) - Unknown owner - C:\WINDOWS\System32\dev32.exe (file missing) O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe O23 - Service: ZESOFT - Unknown owner - C:\WINDOWS\zeta.exe (file missing)
adam9870
(adam9870)
28 Grudzień 2006 09:48
#2
Bardzo dużo syfu…
Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.
Pobierz i odpal LSP-Fix zaznacz " I know what I’m doing " następnie w okienku Keep zaznacz bibliotekę newdotnet*_** i za pomocą strzałki (>>) przenieś ją do okienka Remover i kliknij Finish i restart.
Start => Uruchom => wpisz services.msc => zatrzymaj i wyłącz usługi Web Event Logger, Provides three management service, Provides five management service oraz ZESOFT.
Użyj narzędzia SmitFraudFix (opcja 2). Potem sprawdź co będzie z tego co wskazałem poniżej i usuń: (wszystko oczywiście robisz w trybie awaryjnym z wyłączonym przywracaniem systemu)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=50162 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50162 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50162 R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\webdlg32.dll (file missing) F2 - REG:system.ini: Shell=explorer.exe “C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00025.exe” O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll (file missing) O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\webdlg32.dll (file missing) O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet7_22.dll (file missing) O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll (file missing) O2 - BHO: Pop Class - {A9AEE0DD-89E1-40EE-8749-A18650CC2175} - C:\WINDOWS\winsx.dll (file missing) O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll (file missing) O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\webdlg32.dll (file missing) O4 - HKLM…\Run: [CMESys] “C:\Program Files\Common Files\CMEII\CMESys.exe” O4 - HKLM…\Run: [internet Optimizer] “C:\Program Files\Internet Optimizer\optimize.exe” O4 - HKLM…\Run: [PayTime] C:\WINDOWS\System32\paytime.exe O4 - HKLM…\Run: [saap] c:\program files\180search assistant\saap.exe O4 - HKLM…\Run: [WinTools] C:\PROGRA~1\COMMON~1\WinTools\WToolsA.exe O4 - HKLM…\Run: [zqdwx] C:\WINDOWS\zqdwx.exe O4 - HKLM…\Run: [surfSideKick 2] C:\Program Files\SurfSideKick 2\Ssk.exe O4 - HKLM…\Run: [bullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe O4 - HKLM…\Run: [ntddetect] C:\WINDOWS\System32\ntddetect.exe O4 - HKLM…\Run: [service Host] C:\WINDOWS\System32\Services{961B56A6-345D-436E-8E5E-07F65E1FA530}\SVCHOST.EXE O4 - HKLM…\Run: [sp] rundll32 C:\DOCUME~1\KUBA~1.JAK\USTAWI~1\Temp\se.dll,DllInstall O4 - HKLM…\Run: [MouseDrv] C:\DOCUME~1\KUBA~1.JAK\USTAWI~1\Temp\link.txt O4 - HKLM…\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s O4 - HKLM…\RunServices: [ntddetect] C:\WINDOWS\System32\ntddetect.exe O4 - HKCU…\Run: [PayTime] C:\WINDOWS\System32\paytime.exe O4 - HKCU…\Run: [surfSideKick 2] C:\Program Files\SurfSideKick 2\Ssk.exe O4 - HKCU…\Run: [ntddetect] C:\WINDOWS\System32\ntddetect.exe O4 - HKCU…\Run: [system] C:\WINDOWS\svchost.exe O4 - HKCU…\Run: [MouseDrv] C:\DOCUME~1\KUBA~1.JAK\USTAWI~1\Temp\link.txt O4 - HKCU…\Run: [shell] “C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00025.exe” O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe O4 - Global Startup: Uninstall.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab O21 - SSODL: Web Event Logger - {7CFBACFF-EE01-1231-ABDD-416592E5D639} - C:\WINDOWS\System32\Nchdin32.dll (file missing) O23 - Service: Provides three management service (FreeBSD) - Unknown owner - C:\WINDOWS\System32\dev32.exe (file missing) O23 - Service: Provides five management service (NetBSD) - Unknown owner - C:\WINDOWS\System32\dev32.exe (file missing) O23 - Service: ZESOFT - Unknown owner - C:\WINDOWS\zeta.exe (file missing)
Pliki i foldery zaznaczone kasujesz ręcznie z dysku natomiast wpisy w HijackThis.
Użyj HaxFix .
Po wykonaniu pokaż nowy log z hjt, SilentRunners , raport z smitfraudfix oraz haxfix.
system
(system)
28 Grudzień 2006 13:27
#3
dziekuje za pomoc, wklejam logi:
hajackthis
Logfile of HijackThis v1.99.1 Scan saved at 14:21:55, on 2006-12-28 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe E:\PROGRA~1\Sony\SsAAD.exe C:\WINDOWS\System32\mszx23.exe C:\Program Files\Messenger\msmsgs.exe C:\Documents and Settings\Kuba.JAKUB-91Y8P7GI4\Pulpit\naprawa\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=50162 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kurnik.pl/kierki R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50162 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\webdlg32.dll (file missing) O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll (file missing) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\webdlg32.dll (file missing) O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet7_22.dll (file missing) O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll (file missing) O2 - BHO: Pop Class - {A9AEE0DD-89E1-40EE-8749-A18650CC2175} - C:\WINDOWS\winsx.dll (file missing) O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll (file missing) O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\webdlg32.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot O4 - HKLM…\Run: [sp] rundll32 C:\DOCUME~1\KUBA~1.JAK\USTAWI~1\Temp\se.dll,DllInstall O4 - HKLM…\Run: [MouseDrv] C:\DOCUME~1\KUBA~1.JAK\USTAWI~1\Temp\link.txt O4 - HKLM…\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s O4 - HKLM…\Run: [ssAAD.exe] E:\PROGRA~1\Sony\SsAAD.exe O4 - HKLM…\RunServices: [ntddetect] C:\WINDOWS\System32\ntddetect.exe O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [PayTime] C:\WINDOWS\System32\paytime.exe O4 - HKCU…\Run: [surfSideKick 2] C:\Program Files\SurfSideKick 2\Ssk.exe O4 - HKCU…\Run: [ntddetect] C:\WINDOWS\System32\ntddetect.exe O4 - HKCU…\Run: [system] C:\WINDOWS\svchost.exe O4 - HKCU…\Run: [MouseDrv] C:\DOCUME~1\KUBA~1.JAK\USTAWI~1\Temp\link.txt O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) - http://bezpieczenstwo.onet.pl/skaner/ArcaOnline.cab O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MainControl Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab O17 - HKLM\System\CCS\Services\Tcpip…{66D7BA28-A49F-44C3-B181-8A1818D913C0}: NameServer = 85.128.59.114,213.134.128.20 O17 - HKLM\System\CCS\Services\Tcpip…{FE0F8DE7-8708-492F-85B2-511EB8EEA881}: NameServer = 213.134.128.20,85.128.59.114 O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll O20 - Winlogon Notify: ntfs32 - ntfs32.dll (file missing) O23 - Service: Provides three management service (FreeBSD) - Unknown owner - C:\WINDOWS\System32\dev32.exe (file missing) O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: Provides five management service (NetBSD) - Unknown owner - C:\WINDOWS\System32\dev32.exe (file missing) O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe
sff
SmitFraudFix v2.131 Scan done at 13:44:38,23, 2006-12-28 Run from C:\Documents and Settings\Kuba.JAKUB-91Y8P7GI4\Pulpit\naprawa\inne\SmitfraudFix OS: Microsoft Windows XP [Wersja 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix !Attention, following keys are not inevitably infected! SrchSTS.exe by S!Ri Search SharedTaskScheduler’s .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\DOCUME~1\ALLUSE~1.WIN\MENUST~1\Programy\AUTOST~1\Uninstall.exe Deleted »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !Attention, following keys are not inevitably infected! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “System”="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning not selected. »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix !Attention, following keys are not inevitably infected! SrchSTS.exe by S!Ri Search SharedTaskScheduler’s .dll »»»»»»»»»»»»»»»»»»»»»»»» End haxfix [HAXFIX logfile - by Marckie version 4.32 2006-12-28 14:20:10,35 — Checking for Haxdoor — checking for a3d files a3d files found fltr.a3d i.a3d ps.a3d redir.a3d tnfl.a3d checking for matching notify keys matching notify keys found ntfs drct checking for matching services matching services found ntfs32 vdmt16 checking for matching safeboot services no matching safeboot services found checking for other Haxdoor-files no other Haxdoor-files found — Checking for Goldun — checking for SSODL keys no ssodl keys found checking for notify keys no notify keys found checking for services no services found checking for other Goldun-files no other Goldun-files found Finished!
adam9870
(adam9870)
28 Grudzień 2006 13:40
#4
Start => uruchom => wpisz cmd i kliknij ok => w konsoli, która się otworzy wpisz:
Usuń:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=50162 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50162 R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\webdlg32.dll (file missing) O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll (file missing) O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\webdlg32.dll (file missing) O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet7_22.dll (file missing) O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll (file missing) O2 - BHO: Pop Class - {A9AEE0DD-89E1-40EE-8749-A18650CC2175} - C:\WINDOWS\winsx.dll (file missing) O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll (file missing) O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\webdlg32.dll (file missing) O4 - HKLM…\Run: [sp] rundll32 C:\DOCUME~1\KUBA~1.JAK\USTAWI~1\Temp\se.dll,DllInstall O4 - HKLM…\Run: [MouseDrv] C:\DOCUME~1\KUBA~1.JAK\USTAWI~1\Temp\link.txt O4 - HKLM…\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s O4 - HKLM…\RunServices: [ntddetect] C:\WINDOWS\System32\ntddetect.exe O4 - HKCU…\Run: [PayTime] C:\WINDOWS\System32\paytime.exe O4 - HKCU…\Run: [surfSideKick 2] C:\Program Files\SurfSideKick 2\Ssk.exe O4 - HKCU…\Run: [ntddetect] C:\WINDOWS\System32\ntddetect.exe O4 - HKCU…\Run: [system] C:\WINDOWS\svchost.exe O4 - HKCU…\Run: [MouseDrv] C:\DOCUME~1\KUBA~1.JAK\USTAWI~1\Temp\link.txt O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab O23 - Service: Provides three management service (FreeBSD) - Unknown owner - C:\WINDOWS\System32\dev32.exe (file missing) O23 - Service: Provides five management service (NetBSD) - Unknown owner - C:\WINDOWS\System32\dev32.exe (file missing)
sposób usuwania już chyba znasz.
Co wpisujesz w HaxFix’ie ??
powinieneś wpisać drct oraz ntfs
Użyłeś już ATF- Cleanera ? Jeśli nie to użyj.
Po wykonaniu nowy log z hijacka, raport z haxfix’a oraz koniecznie log z SilentRunners .
system
(system)
28 Grudzień 2006 14:54
#5
wlasnie z usuwaniem mam problem. komp nie widzi plikow zanzaczonych na czerwono…
Bieniol
(Bbieniol)
28 Grudzień 2006 14:58
#6
Bardzo możliwe, że plików tych nie ma. Tak więc usuń wszystko, co jesteś w stanie usunąć (z zaznaczonych przez Adama rzeczy), a następnie wklej kompletny zestaw logów: Hijack + Silent
system
(system)
28 Grudzień 2006 15:17
#7
w haxfix, mam wlaczyc opcje run manual fix, i tam wpisac całą sciezke:
czy tez wpisac tylko drct oraz ntfs?
adam9870
(adam9870)
28 Grudzień 2006 15:22
#8
Tak, w HaxFix’ie wybierz opcję 3. Run manual Fix i wpisujesz obiekty do usunięcia - drct oraz ntfs
adam9870
(adam9870)
28 Grudzień 2006 16:07
#10
Ściągasz program KillBox , zaznaczasz Delete on reboot , w polu full path of file wklej ścieżkę:
C:\WINDOWS\SYSTEM32\drct16.dll
Klikasz X czerwony i restart kompa.
Otwórz Notatnik i wklej w nim to:
Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG i uruchom go w trybie awaryjnym.
Będąc w trybie awaryjnym start => uruchom => cmd => wpisz:
RD /S /Q "C:\Documents and Settings\KUBA~1.JAK\Ustawienia lokalne\Temp"
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=50162 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50162 O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll (file missing) R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\webdlg32.dll (file missing) O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\webdlg32.dll (file missing) O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll (file missing) O2 - BHO: Pop Class - {A9AEE0DD-89E1-40EE-8749-A18650CC2175} - C:\WINDOWS\winsx.dll (file missing) O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll (file missing) O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\webdlg32.dll (file missing) O4 - HKLM…\Run: [sp] rundll32 C:\DOCUME~1\KUBA~1.JAK\USTAWI~1\Temp\se.dll,DllInstall O4 - HKLM…\Run: [MouseDrv] C:\DOCUME~1\KUBA~1.JAK\USTAWI~1\Temp\link.txt O4 - HKLM…\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s O4 - HKCU…\Run: [ntddetect] C:\WINDOWS\System32\ntddetect.exe O4 - HKCU…\Run: [MouseDrv] C:\DOCUME~1\KUBA~1.JAK\USTAWI~1\Temp\link.txt O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll O20 - Winlogon Notify: ntfs32 - ntfs32.dll (file missing)
Usuń w hjt.
Po wykonaniu wklej nowe logi.
system
(system)
28 Grudzień 2006 16:14
#11
usunac mam wszystkie rzeczy z tego cytatu?
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=50162 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50162 O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll (file missing) R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\webdlg32.dll (file missing) O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\webdlg32.dll (file missing) O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll (file missing) O2 - BHO: Pop Class - {A9AEE0DD-89E1-40EE-8749-A18650CC2175} - C:\WINDOWS\winsx.dll (file missing) O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll (file missing) O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\webdlg32.dll (file missing) O4 - HKLM…\Run: [sp] rundll32 C:\DOCUME~1\KUBA~1.JAK\USTAWI~1\Temp\se.dll,DllInstall O4 - HKLM…\Run: [MouseDrv] C:\DOCUME~1\KUBA~1.JAK\USTAWI~1\Temp\link.txt O4 - HKLM…\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s O4 - HKCU…\Run: [ntddetect] C:\WINDOWS\System32\ntddetect.exe O4 - HKCU…\Run: [MouseDrv] C:\DOCUME~1\KUBA~1.JAK\USTAWI~1\Temp\link.txt O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll O20 - Winlogon Notify: ntfs32 - ntfs32.dll (file missing)
Bieniol
(Bbieniol)
28 Grudzień 2006 18:36
#14
Logi są już czyste
Czy to są Twoje stronki?
Przeczyść rejestr (polecam do tego jv16 PowerTools ), zrób defragmentację, oraz przejrzyj: Optymalizacja XP
Wejdź: Start -> uruchom -> msconfig i w zakładce uruchamianie odznacz (według Ciebie) niepotrzebne przy autostarcie programy
Jak wygląda sytuacja z kompem?
system
(system)
28 Grudzień 2006 18:46
#15
stronki nie sa moje, nic te adresy mi nie mowia.
a co do kompa, to praca sie uplynnila, ale przesta dzialac windows media player…
po czym mam poznac, ktore programy sa zbedne? niektore chyba dzialaja w tle jako procesy systemowe, a przy moich umiejatnosciach metoda losowania nie trafie na te wlasciwe;P
dziekuje za pomoc.
Bieniol
(Bbieniol)
28 Grudzień 2006 18:53
#16
Usuń w takim razie te dwa wpisy, oraz dodatkowo zbędną Alexę:
O zbędnikach w autostarcie poczytaj tutaj -> http://www.unicorn.ksiezyc.pl/cyber/ind … 378.0.html
system
(system)
28 Grudzień 2006 19:03
#17
a nie dzialajacy windows media player? zamiast programu pojawia sie bialy prostokat. oczywiscie moge zamiast niego stosowac realplayera albo winampa ale skoro jestescie tacy zyczliwi:P
a co powoduje defragmentaja? czy ma jakies ujemne skutki dla komutera?
Bieniol
(Bbieniol)
28 Grudzień 2006 19:07
#18
system
(system)
28 Grudzień 2006 21:01
#19
mam jeszcze pytanie co do defragmentacji. czemu ona sluzy i czy ma jakies negatywne dzialanie w stosunku do zawartosci komputera. z gory dziekuje.
adam9870
(adam9870)
28 Grudzień 2006 21:07
#20
Defragmentacja to po prostu sposób uporządkowania plików, aby leżały “koło siebie”,a nie były porozrzucane po całej partycji czy dysku. Dzięki temu zmniejsza się czas potrzebny na ich odczytanie.
Do defragmentacji można użyć defragmentatora, który jest już umieszczony w Windowsie:
start => wszystkie programy => akcesoria => narzędzia systemowe => defragmentator dysków
lub skorzystać z programów, które do tego celu przeznaczone. Robią one to w nieco lepszy sposób niż ten z Windowsa.