Zmulony komputer, nie chcą sie strony łądować, wirusy

Great_Sniper · 1 Wrzesień 2006 17:12

Witam mam taki problem ale włąsciwie nie ja lecz mój sąsiad. Zawołał mnie zebym mu pogrzebał w kompie bo jest strasznie zmulony. No to ja przeskanowałęm go antywirusem itd. ale to nic nie pomogło wiec chciałem zamiescic z jego kmputera logi na tym forum ale nie mozna załądowac zadnej strony pomimo ze jest poącznie z internetem wiec zrobiłem lloga z hijackthis i chciałem zrobic w silent runners ale wyskoczyło mi takie cos:

wiec sciągnoiłem z tej strony daną aplikacje i pójde do sąsiada ją zainstalowac ale zanim do niego pujde prosiłbym o sprawdzenie tego pierwszego loga.

Potem jak bedzie mozliwosc załądowania jakiejkolwiek strony zamieszcze nowe logi ale teraz prosiłbym o szybkie sprawdzenie loga

Logfile of HijackThis v1.99.1 Scan saved at 18:53:52, on 2006-09-01 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Ahead\InCD\InCDsrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\lsvss.exe C:\Program Files\HP\HP Software Update\HPWuSchd2.exe C:\Program Files\VIAudioi\SBADeck\ADeck.exe C:\PROGRA~1\NEOSTR~1\CnxMon.exe C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe C:\WINDOWS\System32\winsock32.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\WINDOWS\System32\WindowsService.exe C:\WINDOWS\System32\winsystems.exe C:\WINDOWS\System32\mssvcc.exe C:\WINDOWS\System32\mssecures.exe C:\WINDOWS\System32\directxbt.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\dfndrff_15.exe C:\kybrdff_15.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Gadu-Gadu\gg.exe C:\WINDOWS\System32\winhst32.exe3584.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\VIA\RAID\raid_tool.exe C:\WINDOWS\wt\updater\wcmdmgr.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\System32\services.exe C:\Documents and Settings\Janusz\Ustawienia lokalne\Temp\Katalog tymczasowy 1 dla hijackthis.zip\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM…\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1 O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM…\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch O4 - HKLM…\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe O4 - HKLM…\Run: [speedTouch USB Diagnostics] “C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon O4 - HKLM…\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe O4 - HKLM…\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe O4 - HKLM…\Run: [AntiVirus Update Scheduler V2.14C] “C:\WINDOWS\System32\winsock32.exe” O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot O4 - HKLM…\Run: [WindowsService] WindowsService.exe O4 - HKLM…\Run: [winsystems25] winsystems.exe O4 - HKLM…\Run: [msconfig38] mssvcc.exe O4 - HKLM…\Run: [secures23] mssecures.exe O4 - HKLM…\Run: [Microsoft Directxsp] directxbt.exe O4 - HKLM…\Run: [boyce818] RUNDLL32.EXE w004d3f6.dll,n 003ce8150000000a004d3f6 O4 - HKLM…\Run: [lbed0082] RUNDLL32.EXE w0052830.dll,n 003d007f0000000a0052830 O4 - HKLM…\Run: [defender] C:\dfndrff_15.exe O4 - HKLM…\Run: [keyboard] C:\kybrdff_15.exe O4 - HKLM…\RunServices: [WindowsService] WindowsService.exe O4 - HKLM…\RunServices: [winsystems25] winsystems.exe O4 - HKLM…\RunServices: [msconfig38] mssvcc.exe O4 - HKLM…\RunServices: [secures23] mssecures.exe O4 - HKLM…\RunServices: [Microsoft Directxsp] directxbt.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [WinMedia] C:\WINDOWS\System32\winhst32.exe3584.exe O4 - HKCU…\Run: [WindowsService] WindowsService.exe O4 - HKCU…\Run: [Microsoft Directxsp] directxbt.exe O4 - HKCU…\Run: [Winsvr] C:\WINDOWS\System32\winhst32.exe5632.exe O4 - HKCU…\RunServices: [Microsoft Directxsp] directxbt.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra ‘Tools’ menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/168b3e53507 … xIE601.cab O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/pi/components/SignActivX.cab O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\q2680cjuefo80.dll O20 - Winlogon Notify: SMDEn - C:\WINDOWS\system32\fp4803hue.dll (file missing) O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: Windows Services Configuration - Unknown owner - C:\WINDOWS\system32\lsvss.exe

lepper · 1 Wrzesień 2006 17:29

tyle syfu - ja bym kompa sformatował na twoim miejscu :? :?

Great_Sniper · 1 Wrzesień 2006 17:32

No wiem format to ostatecznosc ale co musze usunąc? Napisałęs ze jest duzo syfu ale ja chciałbym wiedziec konkrety.

Ale to nie mój komputer tylko sąsiada wiec prosze o podanie listy co i jak usunąć

qiko · 1 Wrzesień 2006 17:32

Jest strasznie duzo syfu,normalnie zalecil bym na pocztek skan smitfraudfix,ale podejrzewam ze jak stony nie chodza to nie dasz rady.

Usuwasz z wylaczonym przywracaniem systemu i w trybie awaryjnym

Start==>services.msc==>zatrzymaj i wylacz proces Windows Services Configuration

C:\WINDOWS\system32\lsvss.exe C:\WINDOWS\System32\winsock32.exe C:\WINDOWS\System32\WindowsService.exe C:\WINDOWS\System32\winsystems.exe C:\WINDOWS\System32\mssvcc.exe C:\WINDOWS\System32\mssecures.exe C:\WINDOWS\System32\directxbt.exe C:\dfndrff_15.exe C:\kybrdff_15.exe C:\WINDOWS\System32\winhst32.exe3584.exe O4 - HKLM…\Run: [AntiVirus Update Scheduler V2.14C] “C:\WINDOWS\System32\winsock32.exe” R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll O4 - HKLM…\Run: [WindowsService] WindowsService.exe O4 - HKLM…\Run: [msconfig38] mssvcc.exe O4 - HKLM…\Run: [secures23] mssecures.exe O4 - HKLM…\Run: [Microsoft Directxsp] directxbt.exe O4 - HKLM…\Run: [boyce818] RUNDLL32.EXE w004d3f6.dll,n 003ce8150000000a004d3f6 O4 - HKLM…\Run: [lbed0082] RUNDLL32.EXE w0052830.dll,n 003d007f0000000a0052830 O4 - HKLM…\Run: [defender] C:\dfndrff_15.exe O4 - HKLM…\Run: [keyboard] C:\kybrdff_15.exe O4 - HKLM…\RunServices: [WindowsService] WindowsService.exe O4 - HKLM…\RunServices: [winsystems25] winsystems.exe O4 - HKLM…\RunServices: [msconfig38] mssvcc.exe O4 - HKLM…\RunServices: [secures23] mssecures.exe O4 - HKLM…\RunServices: [Microsoft Directxsp] directxbt.exe O4 - HKCU…\Run: [WinMedia] C:\WINDOWS\System32\winhst32.exe3584.exe O4 - HKCU…\Run: [WindowsService] WindowsService.exe O4 - HKCU…\Run: [Microsoft Directxsp] directxbt.exe O4 - HKCU…\Run: [Winsvr] C:\WINDOWS\System32\winhst32.exe5632.exe O4 - HKCU…\RunServices: [Microsoft Directxsp] directxbt.exe O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\q2680cjuefo80.dll O20 - Winlogon Notify: SMDEn - C:\WINDOWS\system32\fp4803hue.dll (file missing) O23 - Service: Windows Services Configuration - Unknown owner - C:\WINDOWS\system32\lsvss.exe

Jesli masz w dodaj usun programy deskbar to odinstaluj

Co do błedów s silent ruuners poczytaj tu masz opisany swój bład http://www.searchengines.pl/phpbb203/in … opic=15989 Leppper nie dawaj takich porad!

lepper · 1 Wrzesień 2006 17:35

dlaczego kazesz usunąć ten plik ? :o

qiko · 1 Wrzesień 2006 17:38

Moj błąd w zlym miejscu postawilem " ".

lepper · 1 Wrzesień 2006 17:43

i źle podałeś - zgubiłeś kupe syfu :shock: :shock:

qiko · 1 Wrzesień 2006 17:47

To mi pokaz co zgubilem :?

lepper · 1 Wrzesień 2006 18:47

http://www.searchengines.pl/phpbb203/lo … 20579.html

i nie pisz mi na pw bzdur że to jest ok bo to jest do wywalenia.

qiko · 1 Wrzesień 2006 18:51

Deskbar jest do wywalenia fakt przeoczylem ale to

nie jest do wywalenia i pochodzi stad http://www.wildtangent.com/default.asp

lepper · 1 Wrzesień 2006 18:53

nawet nie wiesz co to jest ten wildtanget …

dziwne ze ta stronka jest blokowana przez opere :shock:

Myszak · 1 Wrzesień 2006 18:55

lepper przestań pociskać farmazony :?

Wpis jest poprawny.

Przecież to też ma być.

Update :

BTW : przecież on ma VX2 ludzie :roll:

Zastosuj narzędzie Look2Me-Destroyer(ściągnij i włącz w trybie awaryjnym), po użyciu tego narzędzia daj log z L2MFix (instalujesz --> odpalasz --> wybierasz opcje tworzenia loga (nr 1). - nie restartuj kompa.

Update 2 : adam9870 wszystko wyjasnił

qiko · 1 Wrzesień 2006 18:56

Dziwne bo to jest jaknajbardziej poprawne,koncze z Toba dyskusje pa"ekspercie"

adam9870 · 1 Wrzesień 2006 18:57

Co wy piszecie?

Po logu widać, że na komputerze jest VX2 oraz sporo innego syfu.

Usuwanie:

Wyłącz przywracanie systemu
Pobierz narzędzia:

Uruchom komputer w trybie awaryjnym
Użyj SmitFraudFix z opcji numer 2 i możesz zrestartowac komputer
Znowu w awaryjnym użyj Look2Me-Destroyer
Już w normalnym trybie pobierz narzędzie L2Mfix, rozpakuj, uruchom l2mfix.bat , zostaniesz poproszony o wciśnięcie dowolnego klawisza to naciśnij np. [Enter] i potem 1 i czekasz i wklejasz log.

Po wklejeniu loga na fourm NIE resetuj komputera ponieważ przy każdym uruchomieniu są inne nazwy kluczy VX2 itp.

UWAGA: Podczas wchodzenia do awaryjnego będziesz miał do wyboru co najmnije dwa konta do wyboru - Twoje i Admina. Powinieneś wybrać Towje.

Instrukcje do wcześniej wspomnianych narzędzi są opisane w tym temacie:

http://forum.dobreprogramy.pl/viewtopic.php?t=36654

Co do problemu z silentem: Zobacz TUTAJ oraz Wyłączenie/włączenie WSH

lazikar · 2 Wrzesień 2006 05:38

qiko i lepper proponuje jednak poprzesatać już sie spierać a wreście pomagać koledze. Jak tak dalej będzie to więcej szkody narobicie niz to warte

Great_Sniper · 2 Wrzesień 2006 21:02

Ok chciałbym wszystki m podziękować za fatyge i za rady. zastosowałem się do większosci i sąsiadowi teraz chodzi komp o wiele szybciej i sie stronki łądują ale i tak postanowił zrobic formata zaniedługo więc powiedział ze jak jest tak jak teraz to jest ok.

Jeszcze raz chciałbym wszystkim podziękować