dziwne komunikaty

**Posty:** 127 · przez **bluejack** 12 Paź 2007, 14:19

po włączeniu komputera wyskakuje mi komunikat "wystapil problem z aplikacja services.exe i zostanie ona zamknieta" i po chwili pojawia sie komunikat o wylaczeniu komputera z licznikiem odliczajacym 60 sek. ... pojawia mi sie rowniez komunikat "nie znaleziono punktu wejscia procedury kifastysystemcall.dll. co mam zrobic?

**Posty:** 18165 · przez **wojtas** 12 Paź 2007, 14:30

Użyj WWDC :
http://www.firewallleaktester.com/wwdc.htm
Zmień opcje z disable na enable. Uruchom ponownie komputer.
Tak powinny wyglądać porty (NetBIOS może być żółty) :
http://www.firewallleaktester.com/images_site/wwdc.jpg

Zastosuj SDFix . Po pobraniu uruchom go a rozpakuje się do C:\SDFix. Uruchom komputer w trybie awaryjnym (F8 przy stracie systemu). Będąc w awaryjnym uruchom plik RunThis.bat z folderu SDFixa. Zatwierdź czyszczenie przez Y. Poczekaj aż ukończy i komputer zresetuje

zastosuj:

smitfraudfix z opcji 2:

http://siri.urz.free.fr/Fix/SmitfraudFix.exe

Potem wejdz do folderu SDFix wrzuc zawartość pliku Report.txt + log z hijacka oraz z combofixa

logi musza byc w tagach

**Posty:** 127 · przez **bluejack** 12 Paź 2007, 20:10

SDFix

Kod: Zaznacz wszystko: SDFix: Version 1.108 Run by Stawicki_J on 2007-10-12 at 19:52 Microsoft Windows XP [Wersja 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: Name: cmdService Distributed Allocated Memory Unit MSDisk MSN RAV Network Monitor runtime ImagePath: C:\WINDOWS\c3Rhd2lja2k\command.exe "C:\WINDOWS\system32\dllcache\mravsc32.exe" "C:\WINDOWS\System32\irdvxc.exe" /service "C:\WINDOWS\system\msnrav.exe" C:\Program Files\Network Monitor\netmon.exe service \??\C:\WINDOWS\System32\drivers\runtime.sys cmdService - Deleted Distributed Allocated Memory Unit - Deleted MSDisk - Deleted MSN RAV - Deleted Network Monitor - Deleted runtime - Deleted Restoring Windows Registry Values Restoring Windows Default Hosts File Resetting AppInit_DLLs value Rebooting... Service asc3550o - Deleted after Reboot Service asc3550u - Deleted after Reboot Service runtime2 - Deleted after Reboot Normal Mode: Checking Files: Trojan Files Found: "C:\WINDOWS\c3Rhd2lja2k\asappsrv.dll" - Deleted "C:\WINDOWS\c3Rhd2lja2k\command.exe" - Deleted C:\WINDOWS\c3Rhd2lja2k\wal1xZ53uZ4.vbs - Deleted C:\WINDOWS\system32\.exe - Deleted C:\SXAER.EXE - Deleted C:\WINDOWS\SYSTEM32\FTPUPD.EXE - Deleted C:\-20709~1 - Deleted C:\Documents and Settings\LocalService\Ustawienia lokalne\Temp\stdrun1.exe - Deleted C:\Documents and Settings\LocalService\Ustawienia lokalne\Temp\stdrun2.exe - Deleted C:\Documents and Settings\LocalService\Ustawienia lokalne\Temp\stdrun3.exe - Deleted C:\Documents and Settings\NetworkService\Ustawienia lokalne\Temp\stdrun1.exe - Deleted C:\Documents and Settings\NetworkService\Ustawienia lokalne\Temp\stdrun2.exe - Deleted C:\Documents and Settings\NetworkService\Ustawienia lokalne\Temp\stdrun3.exe - Deleted C:\WINDOWS\Temp\stdrun1.exe - Deleted C:\WINDOWS\Temp\stdrun2.exe - Deleted C:\WINDOWS\Temp\win2C.tmp.exe - Deleted C:\WINDOWS\Temp\win32.tmp.exe - Deleted C:\WINDOWS\Temp\win2C.tmp.exe - Deleted C:\WINDOWS\Temp\win32.tmp.exe - Deleted C:\Program Files\Common Files\Yazzle1162OinAdmin.exe - Deleted C:\Program Files\Common Files\Yazzle1162OinUninstaller.exe - Deleted C:\Program Files\Network Monitor\netmon.exe - Deleted C:\DOCUME~1\STAWIC~1\USTAWI~1\Temp\explorer1.exe - Deleted C:\DOCUME~1\STAWIC~1\USTAWI~1\Temp\explorer2.exe - Deleted C:\DOCUME~1\STAWIC~1\USTAWI~1\Temp\explorer3.exe - Deleted C:\DOCUME~1\STAWIC~1\USTAWI~1\Temp\explorer4.exe - Deleted C:\DOCUME~1\STAWIC~1\USTAWI~1\Temp\explorer5.exe - Deleted C:\d.exe - Deleted C:\wsusupd.exe - Deleted C:\WINDOWS\csrss.exe - Deleted C:\WINDOWS\system\msnrav.exe - Deleted C:\WINDOWS\system32\.exe - Deleted C:\WINDOWS\system32\5_exception.nls - Deleted C:\WINDOWS\system32\atmtd.dll - Deleted C:\WINDOWS\system32\atmtd.dll._ - Deleted C:\WINDOWS\system32\delFSF.bat - Deleted C:\WINDOWS\system32\dllcache\mravsc32.exe - Deleted C:\WINDOWS\system32\i - Deleted C:\WINDOWS\system32\irdvxc.exe - Deleted C:\WINDOWS\system32\ldcore.dll - Deleted C:\WINDOWS\system32\ldinfo.ldr - Deleted C:\WINDOWS\system32\n.ini - Deleted C:\WINDOWS\system32\sipov.dll - Deleted C:\WINDOWS\system32\tcprp.dll - Deleted C:\WINDOWS\system32\TFTP1360 - Deleted C:\WINDOWS\system32\wbem\scrcons32.exe - Deleted C:\WINDOWS\Temp\cmdinst.exe - Deleted C:\WINDOWS\Temp\DxcUpdater3.exe - Deleted C:\WINDOWS\Temp\startdrv.exe - Deleted C:\WINDOWS\uninstall_nmon.vbs - Deleted C:\WINDOWS\system32\drivers\asc3550o.sys - Deleted C:\WINDOWS\system32\drivers\asc3550u.sys - Deleted C:\WINDOWS\system32\drivers\runtime2.sys - Deleted Folder C:\Program Files\Network Monitor - Removed Removing Temp Files... ADS Check: C:\WINDOWS No streams found. C:\WINDOWS\system32 No streams found. C:\WINDOWS\system32\svchost.exe No streams found. C:\WINDOWS\system32\ntoskrnl.exe No streams found. Final Check: Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "C:\\WINDOWS\\System32\\wbem\\scrcons32.exe"="C:\\WINDOWS\\System32\\wbem\\scrcons32.exe:*:Enabled:WMI Standard Event Consumer - Scripting" "C:\\WINDOWS\\TEMP\\win21.tmp.exe"="C:\\WINDOWS\\TEMP\\win21.tmp.exe:*:Enabled:win21.tmp" Remaining Files: --------------- File Backups: - C:\SDFix\backups\backups.zip Files with Hidden Attributes: Fri 12 Oct 2007 81,920 ..SH. --- "C:\WINDOWS\system32\slmss.exe" Wed 7 Mar 2001 311,296 ...HR --- "C:\WINDOWS\system32\Tools\AC2K.exe" Wed 21 Feb 2001 310,784 ...HR --- "C:\WINDOWS\system32\Tools\AC98.exe" Wed 21 Feb 2001 311,296 ...HR --- "C:\WINDOWS\system32\Tools\ACL98.exe" Wed 21 Feb 2001 311,808 ...HR --- "C:\WINDOWS\system32\Tools\ACLME.exe" Fri 27 Apr 2001 327,168 ...HR --- "C:\WINDOWS\system32\Tools\All.exe" Fri 24 Nov 2000 316,416 ...HR --- "C:\WINDOWS\system32\Tools\AutoClick.exe" Tue 16 Oct 2001 363,008 ...HR --- "C:\WINDOWS\system32\Tools\Change.exe" Thu 11 Apr 2002 547,840 ...HR --- "C:\WINDOWS\system32\Tools\CheckPath.exe" Fri 31 Aug 2001 381,440 ...HR --- "C:\WINDOWS\system32\Tools\Counter.exe" Mon 21 Jan 2002 360,960 ...HR --- "C:\WINDOWS\system32\Tools\DelDv.exe" Tue 20 Mar 2001 532,480 ...HR --- "C:\WINDOWS\system32\Tools\DeleteFiles.exe" Mon 21 Jan 2002 360,960 ...HR --- "C:\WINDOWS\system32\Tools\DelT2.exe" Mon 21 Jan 2002 360,960 ...HR --- "C:\WINDOWS\system32\Tools\DelT2Dv.exe" Wed 6 Mar 2002 360,960 ...HR --- "C:\WINDOWS\system32\Tools\DelTools.exe" Mon 11 Mar 2002 361,472 ...HR --- "C:\WINDOWS\system32\Tools\LostRun.exe" Tue 3 Apr 2001 296,960 ...HR --- "C:\WINDOWS\system32\Tools\RegClean.exe" Fri 8 Mar 2002 369,152 ...HR --- "C:\WINDOWS\system32\Tools\Regexe.exe" Fri 8 Mar 2002 382,464 ...HR --- "C:\WINDOWS\system32\Tools\Restart.exe" Fri 8 Mar 2002 374,784 ...HR --- "C:\WINDOWS\system32\Tools\RunAP.exe" Fri 8 Mar 2002 360,960 ...HR --- "C:\WINDOWS\system32\Tools\RunRegexe.exe" Fri 2 Nov 2001 379,392 ...HR --- "C:\WINDOWS\system32\Tools\SDW98ME.exe" Fri 9 Mar 2001 312,832 ...HR --- "C:\WINDOWS\system32\Tools\SoundDrv.exe" Wed 3 Oct 2007 230,912 ..SHR --- "C:\Documents and Settings\Stawicki_J\Dane aplikacji\M?crosoft\m?hta.exe" Fri 12 Oct 2007 72,704 ..SHR --- "C:\Documents and Settings\Stawicki_J\Dane aplikacji\?ystem32\winlogon.exe" Finished!

HJ

Kod: Zaznacz wszystko: Logfile of HijackThis v1.99.1 Scan saved at 20:08:58, on 2007-10-12 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\ctfmon.exe C:\DOCUME~1\STAWIC~1\DANEAP~1\YSTEM3~1\winlogon.exe C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\Explorer.exe C:\Program Files\Mozilla Firefox\firefox.exe D:\Moje pliki\Jacek\Pulpit\hijackthis_199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: 0 - {05D0D33C-DFF6-4BD4-02B9-F60C61806212} - C:\Program Files\Windows NT\lawu557.dll O2 - BHO: (no name) - {15DE7A6A-E7F7-E308-F149-EF2B5D97D998} - C:\WINDOWS\System32\hvdpmn.dll O2 - BHO: (no name) - {183E9934-DDB2-4765-A94E-107D7B6749AD} - C:\Program Files\MSN\holemuwy83122.dll O2 - BHO: (no name) - {93089C26-02D4-45AF-8972-5FB15E17929F} - C:\Program Files\MSN\holemuwy4444.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [WinDLL (slmss.exe)] rundll32.exe C:\WINDOWS\System32\slmss.exe,start O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\RunServices: [Windows hez Layere] kdatdw.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Aesd] "C:\DOCUME~1\STAWIC~1\DANEAP~1\YSTEM3~1\winlogon.exe" -vt yazb O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{3BF5C2DF-86BC-4B1D-A39B-022FE049F870}: NameServer = 213.241.79.37 83.238.255.76 O17 - HKLM\System\CS1\Services\Tcpip\..\{3BF5C2DF-86BC-4B1D-A39B-022FE049F870}: NameServer = 213.241.79.37 83.238.255.76 O20 - Winlogon Notify: winaip32 - C:\WINDOWS\SYSTEM32\winaip32.dll O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)

COMBOFIX[code]

**Posty:** 3854 · przez **Dzi@dek** 13 Paź 2007, 00:03

W trybie awaryjnym po wyłączeniu przywracania systemu usuwasz wpisy w hijackthis:

C:\DOCUME~1\STAWIC~1\DANEAP~1\YSTEM3~1\winlogon.exe
O2 - BHO: 0 - {05D0D33C-DFF6-4BD4-02B9-F60C61806212} - C:\Program Files\Windows NT\lawu557.dll
O2 - BHO: (no name) - {15DE7A6A-E7F7-E308-F149-EF2B5D97D998} - C:\WINDOWS\System32\hvdpmn.dll
O4 - HKLM\..\Run: [WinDLL (slmss.exe)] rundll32.exe C:\WINDOWS\System32\slmss.exe,start
O4 - HKLM\..\RunServices: [Windows hez Layere] kdatdw.exe
O4 - HKCU\..\Run: [Aesd] "C:\DOCUME~1\STAWIC~1\DANEAP~1\YSTEM3~1\winlogon.exe" -vt yazb
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O20 - Winlogon Notify: winaip32 - C:\WINDOWS\SYSTEM32\winaip32.dll

Po usunięciu pogrubione ręcznie z dysku do kasacji.

**Posty:** 127 · przez **bluejack** 15 Paź 2007, 23:22

wszystko bylo dobrze, ale dzis zaczely pojawiac sie bluescreeny (komp sie sam restartuje po podlaczeniu do netu, PS. ten problem wystepuje u mnie po kazdym formacie...

) co robic?

**Posty:** 3874 · przez **Wojtasgls** 15 Paź 2007, 23:35

fajnie jak bys podal kod z tych bluescreenow oraz poczytaj:

http://forum.programosy.pl/windows-blue-screen-opis-komunikatow-vt46774.html

**Posty:** 237 · przez **Kuba1** 15 Paź 2007, 23:54

Nie jestem do końca pewny czy wszystko zostało usunięte.

Wykonaj pokolei to co napisze, musimy mieć pewność, że to nie wirusy.

Na początek zastosuj WWDC oraz Seconfig XP

Zastosuj SmitFraudFixz opcji nr 2 w trybie awaryjnym, po którego wklej raport

Następnie:

Pobierz narzędzie SDFix

*Klikamy 2 krotknie na ikonę SDFix.exe,program wypakuje się domyślnie do lokalizacji C:\SDFix

*Wchodzimy do trybu awaryjnego z obsługą sieci:
>>>>>>Jak wejść do trybu awaryjnego z obsługą sieci?

*F8 podczas bootowania systemu.
*Używamy narzędzia BootSafe.exe zaznaczamy opcje Safe Mode- Networking i klikamy reboot

*Gdy już jesteśmy w trybie awaryjnym,wchodzimy do folderu SDFix i uruchamiamy narzędzie klikająć
2-krotnie na plik RunThis.bat lewym przyciskiem myszy.

*Wciskamy Y co uruchomi proces usuwania

*Kiedy proces usuwania się zakończy wciskamy dowolny klawisz>>nastąpi restart.

*Po restarcie SDFix dokończy proces usuwania,kiedy w oknie narzędzia SDFix pojawi się napis Finished
klikamy dowolny klawisz,narzędzie zakończy swoją pracę,na pulpicie załadują się ikony.

*Wchodzimy do folderu SDFix i kopiujemy zawartość pliku tekstowego Report.txt i wklejamy go na forum

Następnie zastosuj ComboFix i daj loga którego wygeneruje.

Następnie daj logi z Hijackthis i Silentrunners.

Wróc z tymi wszystkimi raportami i logami.

Log z ComboFix,Hijackthis,Silentrunners wklej na www.wklej.org a tutaj tylko zlinkuj.

Raporty z SmitFraudFix oraz SDFix wklej bezpośrednio do posta.

**Posty:** 127 · przez **bluejack** 18 Paź 2007, 15:08

Dobra...musiałem zrobic format bo sie zapedzilem w kozi róg, a mianowicie najpierw wylaczylem "przywracanie systemu", a pozniej wlaczylem kompa w trybie awaryjnym z obsluga sieci i nie moglem zaladowac normalnie systemu

:) Jesli teraz problem powroci, napisze . dzieki

**Posty:** 4 · przez **msw57** 21 Paź 2007, 12:50

Witam na forum.
Mam podobny problem jak bluejack. Zastosowałem się do instrukcji Kuba1.

edit

Z góry dziękuję za pomoc.

**Posty:** 3854 · przez **Dzi@dek** 21 Paź 2007, 12:54

msw57
Załóż swój temat i opisz go.

dziwne komunikaty

dziwne komunikaty

Kto jest na forum