Proszę o sprawdzenie loga (problem z netem).

06.02.06, 21:47
Komp nie obsługuje internetu - po otwarciu jakiejkolwiek strony jest pusto, a
u dołu "Gotowe". Nie działa poczta ani gg, ani żaden program wymagający
obsługi sieci. Podczas startu pojawiał się dziwny poprzeczny jasny pasek na
czarnym tle zamiast tych "napisów początkowych". Przywracanie systemu i praca
w trybie awaryjnym nie pomogły.

Oto log:
Logfile of HijackThis v1.99.1
Scan saved at 13:51:22, on 2006-02-06
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\mszx23.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.gazeta.pl/0,0.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program
files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec
Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
atboottime
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [System] C:\WINDOWS\svchost.exe
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web
Folders\ibm00047.exe"
O8 - Extra context menu item: &Google Search - res://c:\program
files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program
files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program
files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program
files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program
files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program
files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} -
C:\Program Files\IrfanView\Ebay\Ebay.htm
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -
software-dl.real.com/05d0b71d8099e8d64406/netzip/RdxIE601.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) -
67.15.101.3/g_bin/pl/billard8_2_0_0_21.cab
O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
O23 - Service: MkS_Vir Monitor (MksVirMonSvc) - Unknown owner - C:\Program
Files\MKS\Bin\mksmonsv.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation -
C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program
Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
    • neder Re: Proszę o sprawdzenie loga (problem z netem). 06.02.06, 21:55
      Ale leniuch z Ciebie ;) Miałeś zrobić to:
      www.searchengines.pl/phpbb203/index.php?showtopic=6745&st=0&p=129610&#entry129610
      pzdr
      • wasa Re: Proszę o sprawdzenie loga (problem z netem). 06.02.06, 22:00
        Odpisałam Ci już na "Komputerach", że widzę jeden klucz do wywalenia, ale teraz
        nic nie zrobię, bo to na komputerze rodziców. Jutro do nich idę i chcę już
        wiedzieć wszystko, co zrobić, bo sami sobie nie poradzą :-(
        Poza tym, niektóre sformułowania użyte na wskazanej przez Ciebie stronie są dla
        mnie za trudne. Jam kobieta ;-) Chciałabym po prostu uprzejmie poprosić o
        wskazanie tego, co należy wyrzucić, bo to potrafię :-)
        • Gość: tata1959 Re: Proszę o sprawdzenie loga (problem z netem). IP: *.neoplus.adsl.tpnet.pl 06.02.06, 22:41
          witaj
          tak... Jam kobieta ;-)
          widzisz te przyklejone na SE pisała PICASSO też Kobieta :) prościej już się nie
          da tego wytłumaczyć , poczytaj dokładnie o Backdoor.Haxdoor D:

          pozdrawiam
          • Gość: wasa Re: Proszę o sprawdzenie loga (problem z netem). IP: 213.17.150.* 07.02.06, 10:25
            Poczytałam dokładnie. Żarty żartami, ale na przykład pierwszy raz słyszę o
            jakiejś konsoli odzyskiwania. W tym punkcie bym poległa, bo po prostu nie wiem,
            jak zrobić: "Zastartuj do Konsoli Odzyskiwania i wprowadź następujące komendy"
            itd.

            Czy samo powyrzucanie wpisów w Hijacku nie pomoże? Wpadłam już na to, że należy
            się pozbyć: O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll

            Niepokoi mnie również to:
            O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web
            Folders\ibm00047.exe" bo wygląda obco.

            Proszę mi tylko powiedzieć, co jeszcze ewentualnie należy wyrzucić. Oczywiste
            jest, że potem przeskanuję i zrobię aktualizacje systemu.
            • kolobos Re: Proszę o sprawdzenie loga (problem z netem). 07.02.06, 11:06
              Na forum searchengines masz opis jak uruchomic konsole...
              • Gość: wasa Nowy log IP: 213.17.150.* 07.02.06, 16:55
                Dotarłam tam oczywiście. Problem tylko w tym, że nie mam CD instalacyjnego,
                normalnie gdzieś wcięło jak na złość.

                Spróbowałam inaczej - wyszukałam te pliki Backdoor.Haxdoor wersja D i je
                pousuwałam w trybie awaryjnym. Były te i już ich nie ma:
                mszx23.exe, w32tm.exe, drct16.dll, p2.ini.

                Usunęłam też wskazane wpisy w hijacku. Ostateczny skutek jest chyba taki sam,
                jak po użyciu tej konsoli (miała umożliwić usunięcie pozornie nieusuwalnych
                plików, mnie sie to udało okrężną drogą po wielu mozołach, ale poznikały)

                Nowy log wygląda tak:

                Logfile of HijackThis v1.99.1
                Scan saved at 14:35:15, on 2006-02-07
                Platform: Windows XP (WinNT 5.01.2600)
                MSIE: Internet Explorer v6.00 (6.00.2600.0000)

                Running processes:
                C:\WINDOWS\System32\smss.exe
                C:\WINDOWS\system32\winlogon.exe
                C:\WINDOWS\system32\services.exe
                C:\WINDOWS\system32\lsass.exe
                C:\WINDOWS\system32\svchost.exe
                C:\WINDOWS\System32\svchost.exe
                C:\WINDOWS\Explorer.EXE
                C:\WINDOWS\system32\spoolsv.exe
                C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
                C:\WINDOWS\System32\nvsvc32.exe
                C:\Program Files\Winamp\winampa.exe
                C:\Program Files\QuickTime\qttask.exe
                C:\Program Files\Gadu-Gadu\gg.exe
                C:\Program Files\hijackthis\HijackThis.exe

                R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
                www.gazeta.pl/0,0.html
                R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
                O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
                C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
                O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
                c:\program files\google\googletoolbar2.dll
                O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
                C:\WINDOWS\System32\msdxm.ocx
                O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program
                files\google\googletoolbar2.dll
                O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
                \NvCpl.dll,NvStartup
                O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
                O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec
                Shared\Security Center\UsrPrmpt.exe
                O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
                O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
                atboottime
                O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
                O4 - HKCU\..\Run: [System] C:\WINDOWS\svchost.exe
                O8 - Extra context menu item: &Google Search - res://c:\program
                files\google\GoogleToolbar2.dll/cmsearch.html
                O8 - Extra context menu item: &Translate English Word - res://c:\program
                files\google\GoogleToolbar2.dll/cmwordtrans.html
                O8 - Extra context menu item: Backward Links - res://c:\program
                files\google\GoogleToolbar2.dll/cmbacklinks.html
                O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program
                files\google\GoogleToolbar2.dll/cmcache.html
                O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
                res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
                O8 - Extra context menu item: Similar Pages - res://c:\program
                files\google\GoogleToolbar2.dll/cmsimilar.html
                O8 - Extra context menu item: Translate Page into English - res://c:\program
                files\google\GoogleToolbar2.dll/cmtrans.html
                O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} -
                C:\Program Files\IrfanView\Ebay\Ebay.htm
                O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -
                software-dl.real.com/05d0b71d8099e8d64406/netzip/RdxIE601.cab
                O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
                skaner.mks.com.pl/SkanerOnline.cab
                O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) -
                67.15.101.3/g_bin/pl/billard8_2_0_0_21.cab
                O23 - Service: MkS_Vir Monitor (MksVirMonSvc) - Unknown owner - C:\Program
                Files\MKS\Bin\mksmonsv.exe (file missing)
                O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation -
                C:\WINDOWS\System32\nvsvc32.exe
                O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program
                Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

                Komputer chodzi poprawnie, uruchamia się bez problemów, tyle że w dalszym ciągu
                nie łączy z siecią. Proszę rzucić jeszcze raz okiem na tego loga...
                Co mogę jeszcze innego zrobić?
                • Gość: tata1959 Re: Nowy log IP: *.neoplus.adsl.tpnet.pl 07.02.06, 18:52
                  witaj
                  widzisz,gdyby było to takie proste jak ci się to wydaje to Pika nie kazałaby
                  użyć konsoli odzyskiwania,to co wykonałaś to tylko pozorne usuwanie,sprawa tkwi
                  głębiej w bebechach windy,to samo tyczy się wpisów rejestru i wykonywanych
                  fix.reg...ale to długa dyskusja,a to że wpisy poznikały to o niczym nie
                  świadczy,sam log z hijacka to wstęp,czasem trzeba wykonać kilka logów innymi
                  narzędziami.
                  w tym logu masz:
                  O4 - HKCU\..\Run: [System] C:\WINDOWS\svchost.exe>>>nie pomyl z
                  systemowym,bo...winda padnie :(
                  pozdrawiam

                  ps.usuwanie śmieci nie jest takie proste.

                  .
                  • Gość: wasa Re: Nowy log IP: 213.17.150.* 07.02.06, 20:43
                    Gość portalu: tata1959 napisał(a):
                    > w tym logu masz:
                    > O4 - HKCU\..\Run: [System] C:\WINDOWS\svchost.exe>>>nie pomyl z
                    > systemowym,bo...winda padnie :(

                    Ale ponoć jest na odwrót:
                    svhost.exe - plik trojana
                    svchost.exe - plik Windows

                    > ps.usuwanie śmieci nie jest takie proste.
                    To już niestety dobrze wiem.

                    Da się coś zrobić w tym moim przypadku bez CD? Czy są jakieś inne narzędzia,
                    czy tylko ta nieszczęsna konsola mnie czeka? Pomóżcie, proszę, bo naprawdę
                    niezbyt dobrze sobie radzę, a mama czeka na internet...
                    • kolobos Re: Nowy log 07.02.06, 21:18
                      Tyle, ze prawdziwy svchost.exe jest w innym katalogu jak zapewne widzisz, wiec
                      o czym piszesz? ;-)

                      Wklej na forum log z: www.silentrunners.org/Silent%20Runners.vbs (sciagasz i
                      dopiero uruchamiasz).
                      • Gość: wasa Re: Nowy log IP: 213.17.150.* 07.02.06, 21:43
                        > Tyle, ze prawdziwy svchost.exe jest w innym katalogu jak zapewne widzisz,
                        wiec
                        > o czym piszesz? ;-)

                        No własnie ja takich rzeczy nie widzę i to jest moja życiowa tragedia ;-)

                        > Wklej na forum log z: www.silentrunners.org/Silent%20Runners.vbs (sciagasz i
                        > dopiero uruchamiasz).
                        Problem jest z komputerem rodziców, a teraz pracuję u siebie. Ponieważ tam nie
                        dostepu do netu (w tym całą rzecz), ściągnęłam już na dyskietkę ww program,
                        żeby przenieść. Spróbowałam próbnie odpalić ten program na moim, ale on woła o
                        jakieś Windows Management Instrumentation (WMI) CORE 1.5 (Windows 95/98)
                        (do ściągnięcia - duży plik). Czy to samo będzie na komputerze rodziców? Oni
                        mają XP, a ja 98 wiec może nie będzie problemu? Bo jeśli też trzeba będzie
                        ściągać, to kicha, bo połączenia nie ma. Jutro to sprawdzę...
                        • kolobos Re: Nowy log 07.02.06, 21:46
                          Pod XP powinno dzialac bez doinstalowywania.
                          • Gość: wasa Re: Nowy log IP: 213.17.150.* 07.02.06, 22:02
                            Dzięki. Mam nadzieję, że się uda.
                            Jutro przyniosę ten log i go tu wkleję. Rozumiem też, że tak czy owak mam
                            usunąć ten wpis w hijacku:
                            O4 - HKCU\..\Run: [System] C:\WINDOWS\svchost.exe

                            Zajrzyj tu jutro Kolobosku (i inne życzliwe dusze też), prosze...
                • barracuda7110 Re: Nowy log 07.02.06, 22:12
                  Grrr. Masz gołego windowsa i dziwisz się, że Ci takie śmieci powłaziły.
                  Zainstaluj poprawki, firewalla. Przydałaby się też alternatywna przeglądarka.
    • wasa Log z Silent Runners... 08.02.06, 18:00
      Już mam ten nowy log. Oto i on:


      "Silent Runners.vbs", revision 43, www.silentrunners.org/
      Operating System: Windows XP
      Output limited to non-default values, except where indicated by "{++}"


      Startup items buried in registry:
      ---------------------------------

      HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
      "Gadu-Gadu" = ""C:\Program Files\Gadu-Gadu\gg.exe" /tray" ["sms-express.com"]

      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
      "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
      "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
      "SSC_UserPrompt" = "C:\Program Files\Common Files\Symantec Shared\Security
      Center\UsrPrmpt.exe" ["Symantec Corporation"]
      "WinampAgent" = "C:\Program Files\Winamp\winampa.exe" [null data]
      "QuickTime Task" = ""C:\Program Files\QuickTime\qttask.exe" -atboottime"
      ["Apple Computer, Inc."]

      HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
      {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from
      CLSID]
      -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 6.0
      CE\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
      {AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper"
      [from CLSID]
      -> {CLSID}\InProcServer32\(Default) = "c:\program
      files\google\googletoolbar2.dll" ["Google Inc."]

      HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
      "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania
      wyświetlania"
      -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
      "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"
      -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll"
      ["Hilgraeve, Inc."]
      "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Eksplorator pulpitów"
      -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll"
      ["NVIDIA Corporation"]
      "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
      -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll"
      ["NVIDIA Corporation"]
      "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
      -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft
      Office\Office10\msohev.dll" [MS]
      "{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
      -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
      "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
      -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
      "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
      -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll"
      [null data]
      "{4CCEFB41-18FA-11D3-9EF3-00A0C9E897FD}" = "CorelDRAW Shell Extension Component"
      -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Corel\Corel Graphics
      11\DRAW\CDRVIEWER\CrlShell110.dll" ["Corel Corporation"]

      HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
      WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
      -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll"
      [null data]

      HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
      WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
      -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll"
      [null data]

      HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
      WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
      -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll"
      [null data]


      Active Desktop and Wallpaper:
      -----------------------------

      Active Desktop is disabled at this entry:
      HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

      HKCU\Control Panel\Desktop\
      "Wallpaper" = "C:\Documents and Settings\asia\Ustawienia lokalne\Dane
      aplikacji\Microsoft\Wallpaper1.bmp"


      Enabled Scheduled Tasks:
      ------------------------

      "Symantec NetDetect" -> launches: "C:\Program
      Files\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"]


      Winsock2 Service Provider DLLs:
      -------------------------------

      Namespace Service Providers

      HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5
      \Catalog_Entries\ {++}
      000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
      000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
      000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

      Transport Service Providers

      HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9
      \Catalog_Entries\ {++}
      0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
      %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11
      %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


      Toolbars, Explorer Bars, Extensions:
      ------------------------------------

      Toolbars

      HKLM\Software\Microsoft\Internet Explorer\Toolbar\
      "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
      -> {CLSID}\InProcServer32\(Default) = "c:\program
      files\google\googletoolbar2.dll" ["Google Inc."]

      Extensions (Tools menu items, main toolbar menu buttons)

      HKLM\Software\Microsoft\Internet Explorer\Extensions\
      {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A}\
      "ButtonText" = "eBay - Homepage"
      "CLSIDExtension" = "{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}"
      -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\shdocvw.dll" [MS]
      "Exec" = "C:\Program Files\IrfanView\Ebay\Ebay.htm" [null data]


      Running Services (Display Name, Service Name, Path {Service DLL}):
      ------------------------------------------------------------------

      NVIDIA Driver Helper Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA
      Corporation"]
      Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]


      Print Monitors:
      ---------------

      HKLM\System\CurrentControlSet\Control\Print\Monitors\
      hpzsnt08\Driver = "hpzsnt08.dll" ["HP"]


      ----------
      + This report excludes default entries except where indicated.
      + To see *everywhere* the script checks and *everything* it finds,
      launch it from a command prompt or a shortcut with the -all parameter.
      + To search all directories of local fixed drives for DESKTOP.INI
      DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
      use the -supp parameter or answer "No" at the first message box.
      --------
      • kolobos Re: Log z Silent Runners... 08.02.06, 21:06
        Log wyglada ok.
        Jaki dokladnie masz problem z dostepem do sieci? Moze wysil sie i opisz
        dokladnie co sie dzieje!
        • wasa Re: Log z Silent Runners... 08.02.06, 21:29
          Dzięki. Czy jeśli ten log wygląda OK, to znaczy, że nic groźnego się już w
          kompie nie kryje? Z tego, czego się dowiedziałam z searchengines, wynika, że na
          pewno miałam trojana backdoor.haxdoor D, bo były niektóre z wymienionych
          plików. Pousuwałam to ręcznie, przeszukałam też rejestr i chyba się tego
          pozbyłam (choć głowy nie dam).

          Problem z siecią jest następujący - po prostu nie ma połączenia z internetem.
          Zaczęłam od wykluczenia rzeczy typu poluzowana wtyczka z tyłu komputera,
          zadzwoniłam też do dostawcy, czy przypadkiem jakichś awarii nie mieli.
          Strony internetowe otwierają się puste, zarówno w IE, jak i w Operze. Nie ma
          jednak u dołu standardowego komunikatu typu: "Trwa znajdowanie witryny", jak to
          ma miejsce, gdy jest przerwa w dostawie sygnału, lecz jest napisane "Gotowe",
          ale strona biała. Outlook nie ściąga poczty, gg świeci czerwonym słoneczkiem,
          choć ustawione na "dostępny".
          Posprawdzałam rzeczy, które umiem obsłużyć - np. w narzędziach systemowych, czy
          nie ma jakiegoś konfliktu z kartą sieciową lub braku sterownika, zmieniałam
          próbnie poziom zabezpieczeń w opcjach IE. Wszystko wygląda, jak na mój
          przeciętny gust, w porządku.
          Gdzie jeszcze mogę sprawdzić, dlaczego ten internet nie chodzi?

          Aha, znalazłam pliki zaczynające się od ibm00047 lub inne liczby na końcu,
          zarówno .exe, jak i .dll, są w podkatalogu Program Files. Czy biblioteki i inne
          pliki nie znajdujące się w Windows/system32 można śmiało wywalać bez zagrożenia
          dla systemu? Bo wyczytałam w innych postach, ze to ibm to syf. Czy to może
          wpływać na połączenie z netem?
          • kolobos Re: Log z Silent Runners... 08.02.06, 21:46
            Mysle, ze to raczej Twoje usuwanie w rejestrze zabilo internet ;-)
            ibm* usun.
            • wasa Re: Log z Silent Runners... 08.02.06, 21:59
              Serio? Bo to usuwanie too wyglądało tak, że najpierw wyszukałam normalnie
              wyszukiwarką plików te wszystkie podejrzane np. drct16.dll i chyba trzy inne,
              próbowałam usunąć je ręcznie, jak się nie dało, to w trybie awaryjnym poszło,
              wywaliłam też te wpisy w hijacku, które mi tu wskazaliście. Sprawdziłam jeszcze
              raz, czy te pliki są i żeby się upewnić, to przeszukałam w rejestrze (opcją
              Znajdź i Znajdź następne) czy są jakieś wartości nazywające się podobnie jak te
              złe pliki. I nic nie było, więc de facto z samego rejestu nic nie usuwałam.
              Może to trochę naiwnie brzmi, ale moje działania sa na miarę mojej wiedzy ;-)

              Może ten problem z netem nie od wirusów jest? Bo ja co rusz u siebie wywalam
              jakieś znalezione trojany (dziś np. 10), ale sieć działa bez problemu.
              Co mam jeszcze sprawdzić? Czy jest jakiś sposób, żeby zobaczyć, w którym
              miejscu jest przerwa w dostępie do sieci? Widziaąłm kiedyś, jak ktoś wpisywał
              takie hasło (ping???) do Uruchom i wyskakiwało okienko z danymi nt. połączenia.
              Może tą drogą? Tylko jak?
              Czy jestem skazana na wezwanie informatyka?
              • kolobos Re: Log z Silent Runners... 08.02.06, 22:08
                Wpisz w Start->Uruchom->cmd i tam:
                ping 213.180.130.200
                • wasa Re: Log z Silent Runners... 08.02.06, 22:12
                  I co dalej? Na co patrzeć i co robić? Bo jak pójdę jutro znów do rodziców, to
                  niech już wiem, co dalej...
              • wasa Re: Log z Silent Runners... 08.02.06, 22:10
                Aha, no i te problemy zaczęły się zanim zaczęłam cokolwiek grzebać..., bo
                grzebać zaczęłam, żeby naprawić ;-)
                Półtora tygodnia temu (ja wyjechałam za granicę) mama dzwoni, że komp się
                popsuł i nie może do mnie gg-adać ani mejlować. Wróciłam po tygodniu, no i od
                poniedziałku się z tym biedzę, grzebiąc u rodziców, pisząc na forum od siebie i
                tak w kółko. Niech to się już skończy...
                • Gość: k Re: Log z Silent Runners... IP: *.warszawa.sdi.tpnet.pl 08.02.06, 22:43
                  Zobacz czy ping dociera do tego hosta czy nie, bedzie to napisane.
                  Zawsze mozesz przeinstalowac windows i problemy moze znikna ;-)
                  • Gość: wasa Re: Log z Silent Runners... IP: 213.17.150.* 08.02.06, 22:58
                    Gość portalu: k napisał(a):
                    > Zobacz czy ping dociera do tego hosta czy nie, bedzie to napisane.

                    Będzie to napisane wprost "dociera" lub "nie dociera" czy jakimś szyfrem?
                    I co jeśli dociera lub nie? Rozumiem, że chyba lepiej jak dociera? Co dalej
                    sprawdzać? A co robić, jak nie dociera?

                    > Zawsze mozesz przeinstalowac windows i problemy moze znikna ;-)

                    Wolałabym tego uniknąć. Zresztą pisałam wyżej, że mi płytkę wcięło...

Pełna wersja