prośba o sprawdzenie loga

**Posty:** 8 · przez **arturg** 20 Paź 2005, 18:03

Witam,
Skaner mks wykrył mi parę trojanów, niby usunął, ale przy starcie systemu (Win 98SE) nadal pojawia się komunikat: "Nie można odnaleźć pliku 'ibm00001.exe' (lub jego części). Sprawdź, czy ścieżka i nazwa pliku są poprawne oraz czy wszystkie wymagane biblioteki są dostępne". Proszę o pomoc, oto log:

Kod: Zaznacz wszystko: Logfile of HijackThis v1.99.1 Scan saved at 17:54:32, on 20.10.2005 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v5.50 (5.50.4134.0600) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\MSDTCW.EXE C:\WINDOWS\SYSTEM\RPCSS.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAM FILES\MOUSE\MOUSE DRIVER\3.4\LWBWHEEL.EXE C:\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-VIRUS FOR WORKSTATION 5\KAVMM.EXE C:\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-VIRUS FOR WORKSTATION 5\KWSPROD.EXE C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\OSA.EXE C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\MSOFFICE.EXE D:\TOOLS\WATCHDOG\WATCHDOG.EXE C:\PROGRAM FILES\OUTLOOK EXPRESS\MSIMN.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAM FILES\GADU-GADU\GG.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAM FILES\INSERT\MARYNA XP\TUKAN.EXE D:\TOOLS\WINDOWS COMMANDER\WINCMD32.EXE D:\TEMP\HIJACKTHIS\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rynek.owg.pl/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Program Microsoft Internet Explorer dostarczony przez InsERT R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:3128 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O3 - Toolbar: @msdxmLC.dll,-1@1045,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [Zasobnik systemowy] SysTray.Exe O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\mouse\mouse driver\3.4\lwbwheel.exe O4 - HKLM\..\Run: [KAV50Service] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kavmm.exe" -run bl -n Workstation -v 5.0.0.0 -ttsr 10000000 O4 - HKLM\..\Run: [KAV50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kwsprod.exe" -run -n Workstation -v 5.0.0.0 O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [MSDTC] msdtcw -start O4 - HKCU\..\Run: [rate.exe] C:\WINDOWS\SYSTEM\i1ru74n4.exe O4 - HKCU\..\Run: [Shell] "C:\WINDOWS\SYSTEM\ibm00001.exe" O4 - Startup: Uruchamianie pakietu Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE O4 - Startup: Pasek skrótów Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\MSOFFICE.EXE O4 - Startup: Microsoft Find Fast.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Watchdog.lnk = D:\TOOLS\Watchdog\watchdog.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: komentator - http://sport.onet.pl/komentator.cab O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://C:\nosuch.mht!http://85.255.113.4/dl/adv435/x.chm::/load.exe O20 - Winlogon Notify: style2 - C:\WINDOWS\Q12851748.DLL (file missing)

Z góry dziękuję
Artur

**Posty:** 8694 · przez **Red** 20 Paź 2005, 18:22

w logu masz nastepujace problemowe wpisy:

O4 - HKCU\..\Run: [rate.exe] C:\WINDOWS\SYSTEM\i1ru74n4.exe
O4 - HKCU\..\Run: [Shell] "C:\WINDOWS\SYSTEM\ibm00001.exe
O4 - Startup: Microsoft Find Fast.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://C:\nosuch.mht!http://85.255.113.4/dl/adv435/x.chm::/load.exe
O20 - Winlogon Notify: style2 - C:\WINDOWS\Q12851748.DLL (file missing)

w trybie awaryjnym f8 usuwasz pogrubione wpisy recznie a reszte hijackiem za pomocą fix
nstepnie dajesz dwa logi z hijacka i z
http://www.silentrunners.org/

**Posty:** 8 · przez **arturg** 20 Paź 2005, 19:01

Uruchomiłem w trybie awaryjnym, ale żadnego z pogrubionych plików nie znalazłem. Pozostałe wpisy usunąłem Hijackiem, przy usuwaniu O16... pojawił się jakiś błąd. Oto logi:

Kod: Zaznacz wszystko: Logfile of HijackThis v1.99.1 Scan saved at 18:47:49, on 20.10.2005 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v5.50 (5.50.4134.0600) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\MSDTCW.EXE C:\WINDOWS\SYSTEM\RPCSS.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAM FILES\MOUSE\MOUSE DRIVER\3.4\LWBWHEEL.EXE C:\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-VIRUS FOR WORKSTATION 5\KAVMM.EXE C:\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-VIRUS FOR WORKSTATION 5\KWSPROD.EXE C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\OSA.EXE C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\MSOFFICE.EXE D:\TOOLS\WATCHDOG\WATCHDOG.EXE C:\PROGRAM FILES\GADU-GADU\GG.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE D:\TOOLS\WINDOWS COMMANDER\WINCMD32.EXE C:\PROGRAM FILES\OUTLOOK EXPRESS\MSIMN.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE D:\TEMP\HIJACKTHIS\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rynek.owg.pl/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Program Microsoft Internet Explorer dostarczony przez InsERT R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:3128 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O3 - Toolbar: @msdxmLC.dll,-1@1045,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [Zasobnik systemowy] SysTray.Exe O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\mouse\mouse driver\3.4\lwbwheel.exe O4 - HKLM\..\Run: [KAV50Service] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kavmm.exe" -run bl -n Workstation -v 5.0.0.0 -ttsr 10000000 O4 - HKLM\..\Run: [KAV50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kwsprod.exe" -run -n Workstation -v 5.0.0.0 O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [MSDTC] msdtcw -start O4 - HKCU\..\Run: [rate.exe] C:\WINDOWS\SYSTEM\i1ru74n4.exe O4 - HKCU\..\Run: [Shell] "C:\WINDOWS\SYSTEM\ibm00001.exe" O4 - Startup: Uruchamianie pakietu Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE O4 - Startup: Pasek skrótów Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\MSOFFICE.EXE O4 - Startup: Watchdog.lnk = D:\TOOLS\Watchdog\watchdog.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: komentator - http://sport.onet.pl/komentator.cab O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab O20 - Winlogon Notify: style2 - C:\WINDOWS\Q12851748.DLL (file missing)

Kod: Zaznacz wszystko: "Silent Runners.vbs", revision 41, http://www.silentrunners.org/ Operating System: Windows 98 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "rate.exe" = "C:\WINDOWS\SYSTEM\i1ru74n4.exe" [file not found] "Shell" = ""C:\WINDOWS\SYSTEM\ibm00001.exe"" [file not found] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "ScanRegistry" = "C:\WINDOWS\scanregw.exe /autorun" [MS] "TaskMonitor" = "C:\WINDOWS\taskmon.exe" [MS] "SystemTray" = "SysTray.Exe" [MS] "LoadPowerProfile" = "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" [MS] "Zasobnik systemowy" = "SysTray.Exe" [MS] "LWBMOUSE" = "C:\Program Files\mouse\mouse driver\3.4\lwbwheel.exe" [empty string] "KAV50Service" = ""C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kavmm.exe" -run bl -n Workstation -v 5.0.0.0 -ttsr 10000000" ["Kaspersky Lab"] "(Default)" = (empty string) "KAV50" = ""C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kwsprod.exe" -run -n Workstation -v 5.0.0.0" ["Kaspersky Lab"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ {++} "LoadPowerProfile" = "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" [MS] "SchedulingAgent" = "mstask.exe" [MS] "MSDTC" = "msdtcw -start" [MS] HKLM\Software\Microsoft\Active Setup\Installed Components\ {5945c046-1e7d-11d1-bc44-00c04fd912be}\(Default) = "MSN Messenger Service 2.2" \StubPath = "rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.Remove.PerUser" [MS] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ Kaspersky Anti-Virus\(Default) = "{DD230880-495A-11D1-B064-008048EC2FC5}" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\ShellEx.dll" ["Kaspersky Lab"] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Kaspersky Anti-Virus\(Default) = "{DD230880-495A-11D1-B064-008048EC2FC5}" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\ShellEx.dll" ["Kaspersky Lab"] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState WIN.INI & SYSTEM.INI launch points: ----------------------------------- SYSTEM.INI [boot] INFECTION WARNING! "shell=explorer.exe ibm00001.exe" [MS], [file not found] Startup items in "Startup" & "All Users...Startup" folders: ----------------------------------------------------------- C:\WINDOWS\Menu Start\Programy\Autostart "Uruchamianie pakietu Office" -> shortcut to: "C:\Program Files\Microsoft Office\Office\OSA.EXE -b" [MS] "Pasek skrótów Microsoft Office" -> shortcut to: "C:\Program Files\Microsoft Office\Office\MSOFFICE.EXE" [MS] "Watchdog" -> shortcut to: "D:\TOOLS\Watchdog\watchdog.exe" [null data] Enabled Scheduled Tasks: ------------------------ "Rozpoczęcie aplikacji dostrajania" -> launches: "walign" [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "C:\WINDOWS\SYSTEM\rnr20.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 00000000000#\PackedCatalogItem (contains) DLL [Company Name], (at) # range: C:\WINDOWS\SYSTEM\mswsosp.dll [MS], 1 C:\WINDOWS\SYSTEM\msafd.dll [MS], 2 - 4 C:\WINDOWS\SYSTEM\rsvpsp.dll [MS], 5 - 6 Miscellaneous IE Hijack Points ------------------------------ HKLM\Software\Microsoft\Internet Explorer\Version = (invalid data) The Internet Explorer version cannot be found! C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings") The contents of IERESET.INF cannot be reliably checked! Added lines (compared with English-language version): [Strings]: START_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome" [Strings]: MS_START_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome" Missing lines (compared with English-language version): [Strings]: 2 lines Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ PJL Language Monitor\Driver = "PJLMON.DLL" [MS] HP LaserJet 5 Language Monitor\Driver = "HPDCMON.DLL" ["Hewlett-Packard"] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 37 seconds, including 18 seconds for message boxes)

**Posty:** 8694 · przez **Red** 20 Paź 2005, 19:21

zostalo jeszcze:

O4 - HKCU\..\Run: [rate.exe] C:\WINDOWS\SYSTEM\i1ru74n4.exe
O4 - HKCU\..\Run: [Shell] "C:\WINDOWS\SYSTEM\ibm00001.exe
O20 - Winlogon Notify: style2 - C:\WINDOWS\Q12851748.DLL (file missing)

sprobuj usunac to tym narzedziem(kazdy pogrubiony osobno)
http://www.bleepingcomputer.com/files/killbox.php
odpalasz Killboxa zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej scieżke:
C:\WINDOWS\SYSTEM\ibm00001.exe
następnie program będzie pytał o restart-potwierdzasz.To samo zrobisz z dwoma kolejnymi wpisami tj:
C:\WINDOWS\Q12851748.DLL
C:\WINDOWS\SYSTEM\i1ru74n4.exe

**Posty:** 8 · przez **arturg** 20 Paź 2005, 19:48

Zrobione, ale po restarcie komunikat podany na początku mojego pierwszego posta nadal się pojawia. Oto aktualny log:

Kod: Zaznacz wszystko: Logfile of HijackThis v1.99.1 Scan saved at 19:45:16, on 20.10.2005 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v5.50 (5.50.4134.0600) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\MSDTCW.EXE C:\WINDOWS\SYSTEM\RPCSS.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAM FILES\MOUSE\MOUSE DRIVER\3.4\LWBWHEEL.EXE C:\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-VIRUS FOR WORKSTATION 5\KAVMM.EXE C:\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-VIRUS FOR WORKSTATION 5\KWSPROD.EXE C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\OSA.EXE C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\MSOFFICE.EXE D:\TOOLS\WATCHDOG\WATCHDOG.EXE C:\PROGRAM FILES\GADU-GADU\GG.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAM FILES\OUTLOOK EXPRESS\MSIMN.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE D:\TEMP\HIJACKTHIS\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rynek.owg.pl/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Program Microsoft Internet Explorer dostarczony przez InsERT R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:3128 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O3 - Toolbar: @msdxmLC.dll,-1@1045,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [Zasobnik systemowy] SysTray.Exe O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\mouse\mouse driver\3.4\lwbwheel.exe O4 - HKLM\..\Run: [KAV50Service] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kavmm.exe" -run bl -n Workstation -v 5.0.0.0 -ttsr 10000000 O4 - HKLM\..\Run: [KAV50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kwsprod.exe" -run -n Workstation -v 5.0.0.0 O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [MSDTC] msdtcw -start O4 - HKCU\..\Run: [rate.exe] C:\WINDOWS\SYSTEM\i1ru74n4.exe O4 - HKCU\..\Run: [Shell] "C:\WINDOWS\SYSTEM\ibm00001.exe" O4 - Startup: Uruchamianie pakietu Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE O4 - Startup: Pasek skrótów Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\MSOFFICE.EXE O4 - Startup: Watchdog.lnk = D:\TOOLS\Watchdog\watchdog.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: komentator - http://sport.onet.pl/komentator.cab O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab O20 - Winlogon Notify: style2 - C:\WINDOWS\Q12851748.DLL (file missing)

**Posty:** 8694 · przez **Red** 20 Paź 2005, 19:54

arturg napisał(a):Zrobione

niestety ale wszystko dalej siedzi.Porownaj swoje dwa logi :bez zmian

**Posty:** 8 · przez **arturg** 20 Paź 2005, 19:59

Czy to znaczy, że już nic nie da się zrobić? Tylko format?

Artur

**Posty:** 8694 · przez **Red** 20 Paź 2005, 20:10

arturg napisał(a):Zrobione, ale po restarcie komunikat podany na początku mojego pierwszego posta nadal się pojawia.

jak sie zachował killbox podczas usuwania ????

arturg napisał(a):Czy to znaczy, że już nic nie da się zrobić? Tylko format?

no cos ty?

proponuje raz jeszcze wykonac to co podałem powyzej i dodaj mi nowy log na forum z programu:
http://www.silentrunners.org/

**Posty:** 8 · przez **arturg** 21 Paź 2005, 16:27

Zrobiłem jeszcze raz usuwanie KillBoxem, wkleiłem kolejno trzy ścieżki, przy każdym zatwierdzeniu komunikował, że plik będzie usunięty przy następnym restarcie, zrestartowałem, ale dalej przy starcie jest komunikat o pliku ibm00001.exe. Oto log:

Kod: Zaznacz wszystko: "Silent Runners.vbs", revision 41, http://www.silentrunners.org/ Operating System: Windows 98 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "rate.exe" = "C:\WINDOWS\SYSTEM\i1ru74n4.exe" [file not found] "Shell" = ""C:\WINDOWS\SYSTEM\ibm00001.exe"" [file not found] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "ScanRegistry" = "C:\WINDOWS\scanregw.exe /autorun" [MS] "TaskMonitor" = "C:\WINDOWS\taskmon.exe" [MS] "SystemTray" = "SysTray.Exe" [MS] "LoadPowerProfile" = "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" [MS] "Zasobnik systemowy" = "SysTray.Exe" [MS] "LWBMOUSE" = "C:\Program Files\mouse\mouse driver\3.4\lwbwheel.exe" [empty string] "KAV50Service" = ""C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kavmm.exe" -run bl -n Workstation -v 5.0.0.0 -ttsr 10000000" ["Kaspersky Lab"] "(Default)" = (empty string) "KAV50" = ""C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kwsprod.exe" -run -n Workstation -v 5.0.0.0" ["Kaspersky Lab"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ {++} "LoadPowerProfile" = "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" [MS] "SchedulingAgent" = "mstask.exe" [MS] "MSDTC" = "msdtcw -start" [MS] HKLM\Software\Microsoft\Active Setup\Installed Components\ {5945c046-1e7d-11d1-bc44-00c04fd912be}\(Default) = "MSN Messenger Service 2.2" \StubPath = "rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.Remove.PerUser" [MS] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ Kaspersky Anti-Virus\(Default) = "{DD230880-495A-11D1-B064-008048EC2FC5}" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\ShellEx.dll" ["Kaspersky Lab"] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Kaspersky Anti-Virus\(Default) = "{DD230880-495A-11D1-B064-008048EC2FC5}" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\ShellEx.dll" ["Kaspersky Lab"] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState WIN.INI & SYSTEM.INI launch points: ----------------------------------- SYSTEM.INI [boot] INFECTION WARNING! "shell=explorer.exe ibm00001.exe" [MS], [file not found] Startup items in "Startup" & "All Users...Startup" folders: ----------------------------------------------------------- C:\WINDOWS\Menu Start\Programy\Autostart "Uruchamianie pakietu Office" -> shortcut to: "C:\Program Files\Microsoft Office\Office\OSA.EXE -b" [MS] "Pasek skrótów Microsoft Office" -> shortcut to: "C:\Program Files\Microsoft Office\Office\MSOFFICE.EXE" [MS] "Watchdog" -> shortcut to: "D:\TOOLS\Watchdog\watchdog.exe" [null data] Enabled Scheduled Tasks: ------------------------ "Rozpoczęcie aplikacji dostrajania" -> launches: "walign" [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "C:\WINDOWS\SYSTEM\rnr20.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 00000000000#\PackedCatalogItem (contains) DLL [Company Name], (at) # range: C:\WINDOWS\SYSTEM\mswsosp.dll [MS], 1 C:\WINDOWS\SYSTEM\msafd.dll [MS], 2 - 4 C:\WINDOWS\SYSTEM\rsvpsp.dll [MS], 5 - 6 Miscellaneous IE Hijack Points ------------------------------ HKLM\Software\Microsoft\Internet Explorer\Version = (invalid data) The Internet Explorer version cannot be found! C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings") The contents of IERESET.INF cannot be reliably checked! Added lines (compared with English-language version): [Strings]: START_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome" [Strings]: MS_START_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome" Missing lines (compared with English-language version): [Strings]: 2 lines Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ PJL Language Monitor\Driver = "PJLMON.DLL" [MS] HP LaserJet 5 Language Monitor\Driver = "HPDCMON.DLL" ["Hewlett-Packard"] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 42 seconds, including 18 seconds for message boxes)

**Posty:** 8694 · przez **Red** 21 Paź 2005, 16:53

wsztstko robisz w trybie awaryjnym
otworz notatnik i wklej w nim:

Windows Registry Editor Version 5.00

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
"rate.exe" =-
"Shell" =-

Plik >> Zapisz jako, zapisz jako typ: wszystkie pliki, nazwa pliku: Fix.reg
Klikasz dwa razy na powstały plik i potwierdzasz.

zobacz czy jest jeszcze komunikat

**Posty:** 8 · przez **arturg** 21 Paź 2005, 17:29

Wykonałem to dokładnie, po odpaleniu pliku i potwierdzeniu pojawił się komunikat: "Importowanie D:\TEMP\FIX.REG nie jest możliwe: podany plik nie jest skryptem rejestru. Importować można tylko pliki rejestru."

**Posty:** 8694 · przez **Red** 21 Paź 2005, 18:09

w tej sytuacji prosze zrobic to w taki sposob:
otworz notatnik i wklej w nim:

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"rate.exe" =-
"Shell" =-

Plik >> Zapisz jako, zapisz jako typ: wszystkie pliki, nazwa pliku: Fix.reg
Klikasz dwa razy na powstały plik i potwierdzasz.

jesli jeszcze nie pojdzie to wkleisz do notatnika to:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"rate.exe" =-
"Shell" =-

i raz jeszcze:
Plik >> Zapisz jako, zapisz jako typ: wszystkie pliki, nazwa pliku: Fix.reg
Klikasz dwa razy na powstały plik i potwierdzasz.
i czekam na info

**Posty:** 8 · przez **arturg** 21 Paź 2005, 18:24

Zadziałała pierwsza wersja, pokazał się komunikat: "Informacja w D:\TEMP\FIX.REG została poprawnie wprowadzona do rejestru", ale komunikat o ibm00001.exe nadal się pojawia

przez **Tom@szek** 21 Paź 2005, 18:29

arturg napisał(a):nadal się pojawia

Zrestartowałeś komputer :?:

**Posty:** 8 · przez **arturg** 21 Paź 2005, 18:31

Robiłem to oczywiście w trybie awaryjnym i potem zrestartowałem do normalnego trybu. Chyba nie trzeba jeszcze jednego restartu robić?

[ Dodano: Dzisiaj o 17:54 ]
Wykonałem drugą opcję (rozumiem, że chodzi o fix.reg z zawartością:

Red napisał(a):Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"rate.exe" =-
"Shell" =-

ale ponownie pojawił się komunikat:

arturg napisał(a):"Importowanie D:\TEMP\FIX.REG nie jest możliwe: podany plik nie jest skryptem rejestru. Importować można tylko pliki rejestru."

prośba o sprawdzenie loga

Prośba o sprawdzenie loga

Kto jest na forum