Litości...

IP: *.internetdsl.tpnet.pl 13.08.05, 11:10
Wczoraj skanowałem komputer mksvir on line, znalazło kilka problem, które
udało się usunąć. Od tego momentu nic nie chce się uruchomić, oprócz
przeglądarki internetowej. Zawsze pojawia się komunikat np.: "System Windows
nie może odnaleźć pliku C:ProgtamFiles\WindowsMediaPlayer\wmplayer.exe".
Nawet nie mogę uruchomić Hijackthis bo pisze to samo.
Dodam, że problemy zaczęły się kiedy zainstalował mi się SPYSheriff. Niby
Sheriffa już nie ma, ale fałszywa tapeta dalej jest a w system 32 siedzi
svchost, którego nie potrafię usunąc. Robiłem wg tej instrukcji z linku ale
coś mi nie wyszło, a teraz nawet ten link mi się nie otwiera.
Co robić?
    • Gość: $zczurek Re: Litości... IP: *.internetdsl.tpnet.pl 13.08.05, 11:44
      Hej pytam jeszcze co to jest to svchost? Może tego się nie usuwa?
      • Gość: $zczurek Re: Litości... IP: *.internetdsl.tpnet.pl 13.08.05, 12:22
        Znalazłem ostatni log zanim wszystko przestało działać.

        Logfile of HijackThis v1.99.1
        Scan saved at 17:29:14, on 2005-08-12
        Platform: Windows XP (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 (6.00.2600.0000)

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\csrss.exe
        C:\WINDOWS\SYSTEM32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\Explorer.EXE
        C:\WINDOWS\System32\mdms.exe
        C:\Documents and Settings\x\Pulpit\HijackThis.exe

        O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
        C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
        O2 - BHO: (no name) - {72462721-4562-7362-5732-ACAD7254AFFF} -
        C:\WINDOWS\System32\msvbc.dll
        O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} -
        C:\WINDOWS\system32\appwiz.dll
        O2 - BHO: BHOmodObj Class - {7F6828CA-9E42-462C-BC60-418C8144012C} -
        c:\windows\system\BHOmod.dll
        O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
        C:\WINDOWS\System32\msdxm.ocx
        O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
        \NvCpl.dll,NvStartup
        O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
        atboottime
        O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft
        AntiSpyware\gcasServ.exe"
        O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
        O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
        O4 - HKLM\..\Run: [CloneCDTray] "C:\Program
        Files\SlySoft\CloneCD\CloneCDTray.exe" /s
        O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
        O4 - Startup: Power Project.lnk = C:\Program Files\Gadu-Gadu\PowerGG.exe
        O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
        Office\Office10\OSA.EXE
        O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
        C:\Program Files\Messenger\MSMSGS.EXE
        O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
        00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
        O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
        O17 - HKLM\System\CCS\Services\Tcpip\..\{3955CAD2-E82B-4F2E-A7DC-94A8D0D9FCC3}:
        NameServer = 194.204.152.34,194.204.159.1
        O17 - HKLM\System\CS1\Services\Tcpip\..\{3955CAD2-E82B-4F2E-A7DC-94A8D0D9FCC3}:
        NameServer = 194.204.152.34,194.204.159.1
        O17 - HKLM\System\CS2\Services\Tcpip\..\{3955CAD2-E82B-4F2E-A7DC-94A8D0D9FCC3}:
        NameServer = 194.204.152.34,194.204.159.1
        O17 - HKLM\System\CS3\Services\Tcpip\..\{3955CAD2-E82B-4F2E-A7DC-94A8D0D9FCC3}:
        NameServer = 194.204.152.34,194.204.159.1
        O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
        O20 - Winlogon Notify: tcpG4T - tcpG4T.dll (file missing)
        O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies -
        C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
        O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. -
        C:\WINDOWS\system32\LEXBCES.EXE
        O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
        C:\WINDOWS\System32\nvsvc32.exe
    • Gość: tata1959 Re: Litości... IP: *.neoplus.adsl.tpnet.pl 14.08.05, 10:33
      witaj
      tak...kolego to nie tak prosto jak ci się wydaje.
      widzę z poprzedniego twego loga że masz Backdoor.Haxdoor D:i najnowszą wersję
      Backdoor.Haxdoor.AG:
      na dokładkę masz Trojan.Repsamo i nie usunąłeś SPYSheriff,
      a svchost.exe z system32 ...to zostaw w spokoju bo to bardzo ważny plik systemowy!!!
      tak...a czy odpalisz windę w awaryjnym?
      jeśli tak to zapraszam na
      www.searchengines.pl/phpbb203/index.php?showforum=99,tutaj na forum
      poprostu nie potrafię odpowiadać,brakuje mi wielu funkcji do edycji posta.

      pozdrawiam

      .

      • Gość: $zczurek Re: Litości... IP: *.internetdsl.tpnet.pl 14.08.05, 11:58
        Niestety to forum się nie otwiera tzn. otwiera się i jest pusto. Wiem, że
        faktycznie działa, ale nie mogę otworzyć kilku stron np. allegro to samo pusto.
        Tryb awaryjny mogę uruchomić, ściągnąłem jeszcze raz hijackthis i nawet
        uruchomił się :)
        Ale coż dziekuję za chęć pomocy, w końcu nie każdy chce pomagać, no i jest
        niedziela :) Trzeba będzie pewnie zanieść do naprawy i zapłacić - jak to mówi
        Kolobos za głupote trzeba płacić.
        Jedynie co to przestrzegam przed szukaniem napisów do filmów na stronie:
        www.napisy.tv - tam dopadł mnie SpySheriff.
        Ale wkleję jeszcze raz loga bo skanowałem mks on line :)

        Logfile of HijackThis v1.99.1
        Scan saved at 11:49:08, on 2005-08-14
        Platform: Windows XP (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 (6.00.2600.0000)

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\Explorer.EXE
        C:\WINDOWS\system32\LEXBCES.EXE
        C:\WINDOWS\system32\spoolsv.exe
        C:\WINDOWS\system32\LEXPPS.EXE
        C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
        C:\WINDOWS\System32\nvsvc32.exe
        C:\WINDOWS\System32\wuauclt.exe
        C:\Documents and Settings\x\Pulpit\hijackthis3.com

        O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
        C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
        O2 - BHO: (no name) - {72462721-4562-7362-5732-ACAD7254AFFF} -
        C:\WINDOWS\System32\msvbc.dll
        O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} -
        C:\WINDOWS\system32\appwiz.dll
        O2 - BHO: BHOmodObj Class - {7F6828CA-9E42-462C-BC60-418C8144012C} -
        c:\windows\system\BHOmod.dll
        O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
        C:\WINDOWS\System32\msdxm.ocx
        O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
        \NvCpl.dll,NvStartup
        O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
        atboottime
        O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft
        AntiSpyware\gcasServ.exe"
        O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
        O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
        O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
        O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky
        Anti-Virus Personal\kav.exe" /minimize
        O4 - HKLM\..\Run: [secboot] C:\WINDOWS\System32\mszx23.exe !!
        O4 - Startup: Power Project.lnk = C:\Program Files\Gadu-Gadu\PowerGG.exe
        O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
        Office\Office10\OSA.EXE
        O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
        C:\Program Files\Messenger\MSMSGS.EXE
        O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
        00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
        O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
        O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
        update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123861435099
        O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
        O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky
        Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
        O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies -
        C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
        O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. -
        C:\WINDOWS\system32\LEXBCES.EXE
        O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
        C:\WINDOWS\System32\nvsvc32.exe



        • Gość: tata1959 Re: Litości... IP: *.neoplus.adsl.tpnet.pl 14.08.05, 17:09
          witaj
          tak...niestety siedzi Backdoor.Haxdoor D:a jego trzeba uwalić w pierwszej
          kolejności:
          O4 - HKLM\..\Run: [secboot] C:\WINDOWS\System32\mszx23.exe !!
          O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
          usuwanie dość trudne.
          Ukryte usługi: vdmt16 i memlow oraz winlow w wariacji.
          O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} -
          C:\WINDOWS\system32\appwiz.dll
          to możesz walnąć komendą:
          del C:\WINDOWS\system32\appwiz.dll
          te:
          O2 - BHO: BHOmodObj Class - {7F6828CA-9E42-462C-BC60-418C8144012C} -
          c:\windows\system\BHOmod.dll

          O2 - BHO: (no name) - {72462721-4562-7362-5732-ACAD7254AFFF} -
          C:\WINDOWS\System32\msvbc.dll
          fix w hijacku i wywalić z dysku BHOmod.dll i msvbc.dll

          wszystko robisz oczywiście w awaryjnym,ale najważniejszy jest Backdoor.Haxdoor.
          jak tylko będzie to możliwe to wpadnij na forum www.searchengines.pl/
          pozdrawiam



          • Gość: $zczurek Re: Litości... IP: *.internetdsl.tpnet.pl 15.08.05, 09:38
            Witam ponownie.
            Próbowałem coś grzebać. Dalej nic nie działa ale forum z linku zaczęło działać.
            Zamieściłem tam swój post pod tym samym pseudo.
            Dzieki, pozdrawiam :)
Pełna wersja