Hijackthis z mego kompa - do Nedera

[jaa_ga]

Z prośbą gorącą o pomoc:)

Logfile of HijackThis v1.99.1
Scan saved at 00:12:27, on 2006-03-05
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Elbieta Igras\Pulpit\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.google.pl/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE
C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Onet.pl AutoUpdate] "C:\Program Files\Common
Files\Onet.pl\NewAutoUpdate.exe" /updateexe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program
Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility]
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP
Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [Corel Reminder] "C:\Program
Files\Corel\Graphics10\Register\NAVBrowser.exe" /r /i "C:\Program
Files\Corel\Graphics10\Register\NavLoad.ini"
O8 - Extra context menu item: + Offline &Explorer: Download the link -
file://C:\Program Files\Offline Explorer Pro\Add_UrlO.htm
O8 - Extra context menu item: + Offline E&xplorer: Download the current page -
file://C:\Program Files\Offline Explorer Pro\Add_AllO.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
Files\Java\jre1.5.0_06\bin\ssv.dll
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be
Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be
Internet Zone (HKLM)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Windows Update Service (muamgrd) - Unknown owner -
C:\WINDOWS\System32\muamgrd.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate
Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

A problem opisałam tutaj:
forum.gazeta.pl/forum/72,2.html?f=37&w=37914543&a=37914543
PS. Koszmarnie wszystko się ślamazarzy poza tym...

[neder]

źle mi się wysłało ;/
> R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
> Settings,ProxyOverride = 127.0.0.1 -> Ty to ustawiałaś?


do kasacji w HJ:
> O15 - Trusted Zone: *.05p.com (HKLM)
> O15 - Trusted Zone: *.clickspring.net (HKLM)
> O15 - Trusted Zone: *.mt-download.com (HKLM)
> O15 - Trusted Zone: *.my-internet.info (HKLM)
> O15 - Trusted Zone: *.scoobidoo.com (HKLM)
> O15 - Trusted Zone: *.searchmiracle.com (HKLM)
> O15 - Trusted IP range: 206.161.125.149
> O15 - Trusted IP range: 206.161.125.149 (HKLM)
> O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be
> Internet Zone
> O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be
> Internet Zone (HKLM)

[jaa_ga]

Nie ja. Nigdy nie korzystam z proxy.. może syn? Już od dawna nie korzysta,
bo mieszka oddzielnie. Co mam z tym zrobić?
************
Teraz zaznaczyć i skasować pozostałe i sprawdzić Outlooka i IE?
Przepraszam za głupie pytania, ale jestem amatorka i komputerowy debil..:)

[Gość: Antek]

Raczej .. do Nederki :)

[kolobos]

Usun:
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be
Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be
Internet Zone (HKLM)

Usluga do kasacji:
O23 - Service: Windows Update Service (muamgrd) - Unknown owner -
C:\WINDOWS\System32\muamgrd.exe (file missing)

Start->Uruchom->sc stop muamgrd
sc delete muamgrd

Zrob skan tym:
linorg.ciagri.usp.br/ftp/pub/windows/anti-spyware/ssfsetup1_0.exe
download.ewido.net/ewido-setup.exe
Przed skanowaniem zrob update definicji, po przeskanowaniu odinstaluj oba
programy.

[jaa_ga]

Usunęłam "piętnastki", co z 023? Też usunąć tak, jak 015?
Nie rozumiem "start>uruchom>sc stop muamgrd>sc delete muamgrd"
Czy przeskanować wszystko tymi dwiema aplikacjami?
******************************
Mój log teraz:

Logfile of HijackThis v1.99.1
Scan saved at 00:55:04, on 2006-03-05
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Elbieta Igras\Pulpit\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.google.pl/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program
Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE
C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Onet.pl AutoUpdate] "C:\Program Files\Common
Files\Onet.pl\NewAutoUpdate.exe" /updateexe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program
Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility]
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP
Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [Corel Reminder] "C:\Program
Files\Corel\Graphics10\Register\NAVBrowser.exe" /r /i "C:\Program
Files\Corel\Graphics10\Register\NavLoad.ini"
O8 - Extra context menu item: + Offline &Explorer: Download the link -
file://C:\Program Files\Offline Explorer Pro\Add_UrlO.htm
O8 - Extra context menu item: + Offline E&xplorer: Download the current page -
file://C:\Program Files\Offline Explorer Pro\Add_AllO.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
Files\Java\jre1.5.0_06\bin\ssv.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Windows Update Service (muamgrd) - Unknown owner -
C:\WINDOWS\System32\muamgrd.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies,
Inc. - C:\Program Files\Sygate\SPF\smc.exe

PS. Przepraszam za głupie pytania, ale...nie umiem...

[neder]

> Usunęłam "piętnastki", co z 023? Też usunąć tak, jak 015?

tak

> Nie rozumiem "start>uruchom>sc stop muamgrd>sc delete muamgrd"

Start > uruchom i tam wpisujesz najpierw: sc stop muamgrd potem sc delete
muamgrd Jaśneij się nei da ;)

> Czy przeskanować wszystko tymi dwiema aplikacjami?

tak, właśnie po to kolobos Ci je podał. Sorry, że ja tak za niego ;)

pzdr

[jaa_ga]

Własnie skanuję pierwszą:)
Neder...co z tym proxy? Ja go nie potrzebuję, czy usunąć, jak piętnastki?

[Gość: G37]

Nie chce sie wtracac bo to pytanie do Neder ale ... :)

[neder]

To jest pytanie do "Nedera" więc także nie do mnie;) Wtrąć się bo ja nie wiem.

pzdr

[jaa_ga]

Zrobiłam jak kazałeś, ale niestety...
wszystkie maile - bez treści,
przeglądarka IE - puste strony się otwierają...
W Mozilli jest OK, ale ten Outlook cholerny...poczta przychodzi,
jest nadawca, jest temat, nie ma treści...puste pole...
Co jeszcze można zrobić?...
Zajrzę do Was jutro, a teraz dzięki i dobranoc :)

[kolobos]

Pewnie masz cos uszkodzone ale co to nie wiem :>
Sprobuj sciagnac instalator IE ze strony MS i przeinstaluj IE.
Czy wszystkie strony otwieraja sie puste oraz maile?

[jaa_ga]

Tak. Wszystko puste...
Kolobos...zalinkuj mi instalator, bo siebie nie jestem pewna
i mogę jeszcze coś durnego zrobić...?

Co mam jeszcze zrobić?...Pomóżcie

[jaa_ga]

Poczta - bez treści, IE - białe strony (choć na pasku -"gotowe")
Mozilla OK.
Przy otwieraniu - komunikat "Winlogon - zły obraz..." ,
kursor stoi akurat na nazwie pliku, otworzyłam po "enter" dopiero.
Potem następny komunikat "Odzyskano coś tam z biblioteki..."
Pasek ikonek, zamiast w poziomie u dołu - w PIONIE po prawej stronie ekranu :))
Może coś trzeba updatować, bo przy otwieraniu poczty mam za każdym razem
zaproszenie do korzystania z Outlook'a?...ale tylko w temacie, bo treści brak...
Pomóżcie, kochani, debilowi komputerowemu :))

[neder]

czy mozesz te komunikaty przytoczyć bardziej dokłądnie? bez uzywania sformułowań
'coś tam' ;P

[jaa_ga]

Dobrze. Wyłączam kompa i notuję:)

[jaa_ga]

I. Na pasku niebieskim - "Winlogon.exe - Zły obraz"
W polu czerwony "iks" a dalej-
"Aplikacja lub biblioteka DLL C:\WINDOWS\System32(PBDPL).DLL
nie jest poprawnym obrazem sysyemu Windows NT.
Sprawdź to z dyskietką instalacyjną"
(Nie jestem pewna pierwszej litery w ciągu (PBDPL) ponieważ kursor strzałka mi
zasłania. Komunikat znika dopiero po naciśnięciu "enter"

II. Na pasku - "System Windows-Odzyskiwanie Rejestru"
W polu ikonka "i" w kółeczku i treść:
"Jeden z plikow zaw3ierających dane Rejestru musiał zostać odzyskany
na podstawie dziennika lub kopii alternatywnej.
Odzyskiwanie zakończyło się pomyślnie"
*****************************
Wczoraj m iałam jeszcze jeden komunikat -
niebieski ekran, białe litery i sprawdzanie plików NTFS na dysku C
przez CHKDSK - 3 poziomy, deskryptory zabezpieczeń...tyle zapamiętałam...
Dziś tego nie było.
...:)

[kolobos]

Twoj problem nie ma żadnego zwiazku z tym dzialem forum ale juz trudno ;-)
Zapewne masz uszkodzony dysk albo tasme laczaca dysk z komputerem z plyta.
Wskazuje na to uszkodzenie pliku, rejestru oraz chkdsk.

Moze plik to:
KBDPL.DLL ? Jezeli tak to wypakuj ten plik z plyty instalacyjnej XP o tak:
Start->Uruchom->expnad x:\i386\kbdpl.dl_ C:\kbdpl.dll
Za x wstaw litere Twojego cdromu, jakby sie nie dalo podmienic pliku
Nastepnie uzyj tego programu:
www3.telus.net/_/replacer/
I podmien C:\WINDOWS\System32\KBDPL.DLL na C:\kbdpl.dll

Jak juz to zrobisz to uruchom sfc:
Start->Uruchom->sfc /scannow

Ale i tak radzilbym Ci sprawdzic dysk programem diagnostycznym od producenta
dysku.

[jaa_ga]

"Za x wstaw litere Twojego cdromu, jakby sie nie dalo podmienic pliku "
*************
Kurczę...nie wiem, jaką literę...no i nie wim, gdzie dyskietka...
przeprowadzałam się...
No i nie wiem, co to sfc...sorry za kłopoty ze mną,
ale przy okazji masę różnych spyplików udało się wywalić dzięki Wam:))
Dzięki

[kolobos]

Nie dyskietka tylko plyta, litere masz podana w "Moim Komputerze"
Nie musisz wiedziec co to jest sfc tylko to uruchomic jak napisalem ale tutaj
rowniez potrzebna jest plyta.

[jaa_ga]

Oczywiście - płyta :)
Poszukam w płytach, na pewno gdzieś jest:)
Ale instalację i podmiany zostawię już synowi, jak z nart wróci,
bo coś spapram i będzie klops...
Watek wpisany do mojego forum poczeka na powrót syna.
Dziękuję Wam, jesteście wspaniali, Kolobos i Neder :)