prośba o sprawdzenie loga i pomoc-spysheriff

[Nika]

Witam
Jeżeli chodzi o komp jestem zielona dlatego ostatnia wizyta SpySheriffa skonczyla sie odmowieniem posluszeństwa przez moj komputer i musialam (chociaz moze nie ?) instalowac system od poczatku ....

bardzo prosze o szybka pomoc bo moj wiekowy sprzet strasznie sie meczy i jestem pewna że znowu padnie
wiem że już sporo było na ten temat i zamierzam skorzystać ze starszych postów tylko za bardzo nie wiem jak sie przywraca system?
aha oprocz braku tapety nie otwiera mi sie polowa stron? wczesniej tego nie bylo ...

i moj log

Kod: Zaznacz wszystko

Logfile of HijackThis v1.99.1
Scan saved at 09:29:47, on 2005-10-10
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00003.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\cmdtel.exe
C:\WINDOWS\System32\paytime.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\paytime.exe
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00003.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\system32\PDFSaver.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\ania\USTAWI~1\Temp\Rar$EX00.145\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bbc.co.uk/radio/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: Shell=explorer.exe                                                                                                    "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00003.exe"
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe
O4 - HKLM\..\Run: [firewall_anti] C:\WINDOWS\firewall_anti.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
O4 - HKLM\..\Run: [combo.exe] combo.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: [SNInstall] C:\WINDOWS\tool2.exe
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00003.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symfonia® PDF.lnk = C:\WINDOWS\system32\PDFSaver.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{D362360C-BE13-4BEC-A466-54518DFC1305}: NameServer = 172.16.0.2,194.204.159.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{D362360C-BE13-4BEC-A466-54518DFC1305}: NameServer = 172.16.0.2,194.204.159.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{D362360C-BE13-4BEC-A466-54518DFC1305}: NameServer = 172.16.0.2,194.204.159.1
O20 - Winlogon Notify: style2 - C:\WINDOWS\q707907.dll
O20 - Winlogon Notify: tcpG4T - C:\WINDOWS\SYSTEM32\tcpG4T.dll
O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\System32\cmdtel.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe

Autor postu otrzymał pochwałę

[Magik]

SpySheriff

Instrukcja usuwania i przywracania tapety

http://forum.programosy.pl/jak-usunac-spy-sheriff-vt18563.html?highlight=spysheriff

Pozdro

[Nika]

witam moderatora
ja rozumiem ze sprawdzanie setnego loga moze juz nie bawic tylko prosze o troche zrozumienia zaznaczylam wyraznie ze zamierzam korzystac ze starszych postow tylko ze polowy nie rozumiem (mam nadzieje ze nie jest to przestepstwem) probowalam usunac svchost.exe z menadzera ale mam 2 pliki systemowe jeden lokalny i jeden sieciowy i przy ktoryms wylaczyl mi sie komp

ostatnio tez udalo mi sie naprawic tapete i myslalam ze wszystko jest ok a nie bylo.....

wyczytalam ze trzeba usunac pliki w trybie awaryjnym tylko nie mam pojecia jak sie robi przywracanie systemu czy ktos mi pomoze?

pozdrawiam

[Tom@szek]

wyczytalam ze trzeba usunac pliki w trybie awaryjnym tylko nie mam pojecia jak sie robi przywracanie systemu czy ktos mi pomoze?

Jasne;
Wyłączenia przywracania systemu:
Mój komp-> właściwości -> przywracanie systemu - odptaszkować
Tryb awaryjny:
Przy uruchomieniu komputara wciskać F 8 kilkukrotnie.

[jeff]

nazbierałaś niezłą mieszankę wszelakich gównien jakie można złapać :shock: :shock:

na początek:

ściągnij Windows Worms Doors Cleanera
http://www.firewallleaktester.com/wwdc.htm

i pozmieniaj znaczki z disable na enable.

Start do trybu awaryjnego z wyłączonym przywracaniem systemu. Opis podał Ci Tomaszek. W trybie awaryjnym kasujesz z dysku ręcznie pogrubione pliki/foldery:

C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00003.exe
C:\WINDOWS\System32\cmdtel.exe
C:\WINDOWS\System32\paytime.exe
C:\WINDOWS\System32\winshost.exe
C:\WINDOWS\firewall_anti.exe
c:\windows\system32\mdms.exe --> Trojan.Repsamo
C:\winstall.exe
C:\WINDOWS\tool2.exe
C:\WINDOWS\q707907.dll
C:\WINDOWS\SYSTEM32\tcpG4T.dll --> Backdoor Haxdoor AG

jak będą kłopoty z usunięciem ręcznie tych plików to ściągasz Killboxa

http://www.downloads.subratam.org/KillBox.zip

Zaznaczasz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżkę :

C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00003.exe

następnie program będzie pytał o restart - zgadzasz się

potem znów odpalasz Killboxa - i to samo robisz z ścieżkami:

C:\WINDOWS\System32\cmdtel.exe
C:\WINDOWS\System32\paytime.exe
C:\WINDOWS\System32\winshost.exe
C:\WINDOWS\firewall_anti.exe
c:\windows\system32\mdms.exe
C:\winstall.exe
C:\WINDOWS\tool2.exe
C:\WINDOWS\q707907.dl
C:\WINDOWS\SYSTEM32\tcpG4T.dll

potem uruchamiasz Hijacka i kasujesz wpisy:

F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00003.exe"
O4 - HKLM\..\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe
O4 - HKLM\..\Run: [firewall_anti] C:\WINDOWS\firewall_anti.exe
O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
O4 - HKCU\..\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: [SNInstall] C:\WINDOWS\tool2.exe
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00003.exe"
O4 - HKLM\..\Run: [combo.exe] combo.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O20 - Winlogon Notify: style2 - C:\WINDOWS\q707907.dll
O20 - Winlogon Notify: tcpG4T - C:\WINDOWS\SYSTEM32\tcpG4T.dll

O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\System32\cmdtel.exe

Start -> Uruchom -> services.msc -> zatrzymaj i wyłącz proces Loading Outpost Connections nastepnie odpalasz HijackThis Misc Tools -> Delete NT service -> wpisz KDE -> Ok i zresetuj
komputer.

Usuwanie Backdoor Haxdoor AG

http://www.searchengines.pl/phpbb203/index.php?showtopic=43082&st=0&p=194000?entry194000

Usuwanie Trojan.Repsamo

http://www.searchengines.pl/phpbb203/index.php?showtopic=12510&hl=mdms&st=30

O17 - HKLM\System\CCS\Services\Tcpip\..\{D362360C-BE13-4BEC-A466-54518DFC1305}: NameServer = 172.16.0.2,194.204.159.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{D362360C-BE13-4BEC-A466-54518DFC1305}: NameServer = 172.16.0.2,194.204.159.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{D362360C-BE13-4BEC-A466-54518DFC1305}: NameServer = 172.16.0.2,194.204.159.1

czy to są twoje DNSy ?

[Nika]

dzieki Wam bardzo za pomoc
wpawdzie jeszcze sie do konca nie uporalam z tym syfem poniewaz
q707907.dll nie dał sie usunąć ręcznie a reszte stron z poradami po prostu mi sie nie otwiera jak wiekszosc stron (moze przez przypadek cos usunelam ale niekoniecznie )
macie moze jakies pomysly?
aha tak tak to sa moje DNSy...
z góry dziękuję


Do Magika: przyznaje sie bez bicia że nie przeczytałam tematu o logach zaraz postaram się to zmienić ....

[Tom@szek]

macie moze jakies pomysly?

Jedyny jaki mi przychodzi teraz - wklej ponownie log-a z hijackthis.
Nie wiadomo co jest namieszane.

P.S.
Pamiętaj o [ code ] .....................[ / code ]

[Nika]

hmmm
probowalam zainstalowac mozille zeby poradzic cos na te biale strony ale wyskakuje mi jakis blad ...

Kod: Zaznacz wszystko

Logfile of HijackThis v1.99.1
Scan saved at 00:02:14, on 2005-10-11
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\PDFSaver.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\ania\USTAWI~1\Temp\Rar$EX00.493\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bbc.co.uk/radio/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: C:\WINDOWS\q3161165.dll - {7A7E6D97-B492-4884-9ABB-C31281DCC4F2} - C:\WINDOWS\q3161165.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: C:\WINDOWS\q1946328.dll - {B212D577-05B7-4963-911E-4A8588160DFA} - C:\WINDOWS\q1946328.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: C:\WINDOWS\adsldpbc.dll - {D770EB5C-EAB6-431C-9B46-7F2318B5018B} - C:\WINDOWS\adsldpbc.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe
O4 - HKLM\..\Run: [firewall_anti] C:\WINDOWS\firewall_anti.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
O4 - HKLM\..\Run: [combo.exe] combo.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: [SNInstall] C:\WINDOWS\tool2.exe
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00003.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symfonia® PDF.lnk = C:\WINDOWS\system32\PDFSaver.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D362360C-BE13-4BEC-A466-54518DFC1305}: NameServer = 172.16.0.2,194.204.159.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{D362360C-BE13-4BEC-A466-54518DFC1305}: NameServer = 172.16.0.2,194.204.159.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{D362360C-BE13-4BEC-A466-54518DFC1305}: NameServer = 172.16.0.2,194.204.159.1
O20 - Winlogon Notify: style2 - C:\WINDOWS\q707907.dll
O20 - Winlogon Notify: style32 - C:\WINDOWS\q3161165.dll
O20 - Winlogon Notify: tcpG4T - C:\WINDOWS\SYSTEM32\tcpG4T.dll
O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\System32\cmdtel.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe

kurcze teraz widze ze to dalej siedzi ale w awaryjnym wszystko sie usunelo ????? juz zglupialam tzn samo wylaczenie przywracania systemu i wywalenie tego w awaryjnym nic nie daje ?

[Tom@szek]

Spoko.

Mozilla Firefox - dobry pomysł.

Ale póki co to:

To pogrubione usuwasz ręcznie - w awaryjnym:
(jeśli nie widać tych plików robisz tak:
mój komputer -> narzędzia -> opcje folderów -> widok -> (pokaż ukryte pliki i foldery, oraz odznacz "ukryj chronione pliki systemu operacyjnego" )

oraz wpisy w HJT

O4 - HKLM\..\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe

O4 - HKLM\..\Run: [firewall_anti] C:\WINDOWS\firewall_anti.exe

O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe


O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe


O4 - HKCU\..\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

Reszta do usunięcia w hijackthis:

Kod: Zaznacz wszystko

O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKLM\..\Run: [combo.exe] combo.exe

O4 - HKCU\..\Run: [SNInstall] C:\WINDOWS\tool2.exe

O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - (no file)

      O15 - Trusted Zone: *.coolwebsearch.com

      O15 - Trusted Zone: *.searchmeup.com

Odnośnie tych DNS-ów - nie jestem pewien:

O17 - HKLM\System\CCS\Services\Tcpip\..\{D362360C-BE13-4BEC-A466-54518DFC1305}: NameServer = 172.16.0.2,194.204.159.1

Co do wpisów O20 - nie jestem pewien.

[jeff]

O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com

usuwasz Kill Trusted:

http://www.searchengines.pl/phpbb203/index.php?s=5debf1bfeab0c89e54567f66c39699f0&act=Attach&type=post&id=459

Co do wpisów O20 - nie jestem pewien.

śmiecie:

O20 - Winlogon Notify: style2 - C:\WINDOWS\q707907.dll
O20 - Winlogon Notify: style32 - C:\WINDOWS\q3161165.dll
O20 - Winlogon Notify: tcpG4T - C:\WINDOWS\SYSTEM32\tcpG4T.dll

[Nika]

dzieki Chłopaki za pomoc
chyba jednak nie do końca mi sie udało ponieważ:

1. nie widze nr 15 w trybie awaryjnym chociaz zaznaczylam pokazu ukryte...

O15 - Trusted Zone: *.coolwebsearch.com

O15 - Trusted Zone: *.searchmeup.com

2. nie otwiera mi sie link z Usuwanie Backdoor Haxdoor AG takze bardzo prosze o wklejenie tekstu ze wskazówkami
(to bardzo ciekawe jakim kluczem kieruje sie IE otwierajac prawie połowe wybieranych stron?)

3. sciagniecie Windows Worms Doors Cleanera i pozmienianie znaczkow wystarczy czy trzeba jeszcze cos zapisac otworzyc zmienic?

4. czy program antywirusowy ktory mam zainstalowany jest do niczego?

(nie wchodze na strony XXX )

wiem ze pytania moga byc idiotyczne ale troche mnie to przerasta ...

Kod: Zaznacz wszystko

Logfile of HijackThis v1.99.1
Scan saved at 11:39:39, on 2005-10-11
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\PDFSaver.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\Documents and Settings\ania\Pulpit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bbc.co.uk/radio/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: C:\WINDOWS\q3161165.dll - {7A7E6D97-B492-4884-9ABB-C31281DCC4F2} - C:\WINDOWS\q3161165.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: C:\WINDOWS\q1946328.dll - {B212D577-05B7-4963-911E-4A8588160DFA} - C:\WINDOWS\q1946328.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: C:\WINDOWS\adsldpbc.dll - {D770EB5C-EAB6-431C-9B46-7F2318B5018B} - C:\WINDOWS\adsldpbc.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symfonia® PDF.lnk = C:\WINDOWS\system32\PDFSaver.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D362360C-BE13-4BEC-A466-54518DFC1305}: NameServer = 172.16.0.2,194.204.159.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{D362360C-BE13-4BEC-A466-54518DFC1305}: NameServer = 172.16.0.2,194.204.159.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{D362360C-BE13-4BEC-A466-54518DFC1305}: NameServer = 172.16.0.2,194.204.159.1
O20 - Winlogon Notify: style32 - C:\WINDOWS\q3161165.dll
O20 - Winlogon Notify: tcpG4T - C:\WINDOWS\SYSTEM32\tcpG4T.dll
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe


[jeff]

używasz Killboxa do skasowania plików -wklejasz odpowiednio ścieżki-

C:\WINDOWS\q3161165.dll
C:\WINDOWS\q1946328.dll
C:\WINDOWS\adsldpbc.dll


natomiast to:

C:\WINDOWS\SYSTEM32\tcpG4T.dll

Usuwanie:

Otworzyć Notatnik i wkleić do niego:


Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msudp4]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_msudp4]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSUDP4]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSUDP4]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\msudp4]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\tcpG4T]

Plik >>> Zapisz jako >>> Wszystkie pliki *.* >>> jako nazwa wprowadź FIX.REG.

http://www.searchengines.pl

2. Następnie zastartować do trybu awaryjnego i uruchomić zrobiony przez siebie plik = podwójny klik na FIX.REG i potwierdzenie wprowadzenia informacji do rejestru.

Następnie plik:

C:\WINDOWS\SYSTEM32\tcpG4T.dll

-> kasujesz ręcznie w trybie awaryjnym

1. nie widze nr 15 w trybie awaryjnym chociaz zaznaczylam pokazu ukryte...

O15 - Trusted Zone: *.coolwebsearch.com

O15 - Trusted Zone: *.searchmeup.com

tego nie zobaczysz. Te wpisy wywalasz za pomocą KillTrusted - lina Ci podałem wyżej

po zabiegach nowy log

[Nika]

chyba wszystko jest ok stronki wszystkie chodza komp smiga jak nowy
chociaz mam problemy z wyslaniem tego posta bo wyskakuje info o bledzie mam nadzieje ze w koncu mi sie uda ...

Kod: Zaznacz wszystko

Logfile of HijackThis v1.99.1
Scan saved at 23:43:22, on 2005-10-11
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\PDFSaver.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\devldr32.exe
C:\Documents and Settings\ania\Pulpit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bbc.co.uk/radio/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {11111111-2222-408A-9842-CDBE1C6D37EB} - C:\WINDOWS\netdde.dll
O2 - BHO: C:\WINDOWS\q3161165.dll - {7A7E6D97-B492-4884-9ABB-C31281DCC4F2} - C:\WINDOWS\q3161165.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: C:\WINDOWS\q1946328.dll - {B212D577-05B7-4963-911E-4A8588160DFA} - C:\WINDOWS\q1946328.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: C:\WINDOWS\adsldpbc.dll - {D770EB5C-EAB6-431C-9B46-7F2318B5018B} - C:\WINDOWS\adsldpbc.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symfonia® PDF.lnk = C:\WINDOWS\system32\PDFSaver.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{D362360C-BE13-4BEC-A466-54518DFC1305}: NameServer = 172.16.0.2,194.204.159.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{D362360C-BE13-4BEC-A466-54518DFC1305}: NameServer = 172.16.0.2,194.204.159.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{D362360C-BE13-4BEC-A466-54518DFC1305}: NameServer = 172.16.0.2,194.204.159.1
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe

[jeff]

jeszcze to musisz skasowac :

O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - (no file)
O2 - BHO: C:\WINDOWS\q3161165.dll - {7A7E6D97-B492-4884-9ABB-C31281DCC4F2} - C:\WINDOWS\q3161165.dll (file missing)
O2 - BHO: C:\WINDOWS\q1946328.dll - {B212D577-05B7-4963-911E-4A8588160DFA} - C:\WINDOWS\q1946328.dll (file missing
O2 - BHO: C:\WINDOWS\adsldpbc.dll - {D770EB5C-EAB6-431C-9B46-7F2318B5018B} - C:\WINDOWS\adsldpbc.dll (file missing)

[MUTOPOMPKA]

Odnośnie tych DNS-ów - nie jestem pewien:
Cytat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{D362360C-BE13-4BEC-A466-54518DFC1305}: NameServer = 172.16.0.2,194.204.159.1

IP: 172.16.0.2 -> Adres wewnętrzny komputera @ Nika w sieci
IP: 194.204.159.1 -> Serwer DNS sieci, w której jest @ Nika (dzierżawiony z TP.S.A)

Więc zostaje, zresztą i tak jak widac po kolejnych logach, ma pobierany DNS automatycznie.

[Nika]

Bardzo wszystkim dziękuje za okazaną pomoc
ze szczególnym uwzględnieniem uzytkownika 600V

Bez Was bym sobie w życiu nie poradzila
pozdrawiam

[jeff]

nie tak łatwo, dajesz mi jeszcze raz loga z Hijacka oraz Silent Runners:


Ściągnij ten program na dysk i odpal

http://www.silentrunners.org/Silent%20Runners.zip

Pojawi się okienko i klikasz na "Nie ", dzięki czemu otrzymamy pełen log. Poczekaj chwile aż pojawi się info że log już gotowy i wklej zawartość txt na forum

[Nika]

nie moge zamiescic loga bo wyskakuje mi o bledzie w ekplorer.exe i zawiesza sie albo zamyka, log jest za dlugi chyba ze podziele go na 20 czesci

[jeff]

log jest za dlugi chyba ze podziele go na 20 czesci

no jak ? Inni wrzucają i się mieści