zachrana Win XP

[mijaja]

No vida. Ono to nakonec stačilo jednou větou - ten a ten je špatný, a ostatní dobré - nemusels to vypisovat. Ale trochu námahy neškodí. Teď mě to trochu mate, který sloupec k čemu patří. Ty hlášky s X patří do té tabulky v dolní části Jottiho? Mě zajímá jen to, co to napsal nahoře - to OK a Found Nothing, popř. hlášku o šmejdu. Ta dolní tabulka je poslední výsledek skenu před tebou. Tak jestli ty sledované vyšly všechny OK, tak je dobře. Ten NetAnts už jsi odinstaloval? Jestli ano, tak tady zrovna fixnem jeho registry.

Tak jdeme na to - tohle si raději vytiskni, nebo ulož na plochu v Notepadu.

Nainstaluj si alternativní prohlížeč namísto Internet Exploreru.
Stáhni si Ccleaner (v podpisu) a nainstaluj. Stáhni si Killbox a nechej po ruce (třeba na ploše)

Stáhni si SmitfraudFix . Restartuj do nouzového režimu, odpoj se od internetu - nejlépe i kabel z síťovky a nespouštěj žádný browser. Spusť a SmitfraudFix a dle návodu (zkopíruj si jej do notepadu, abys věděl, co s ním dělat ) a pročisti komp v nouzovém režimu. (nerestartuj )

Až to budeš mít, spusť znovu HijackThis a zaškrtni v něm okénka před řádky:

R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: (no name) - _{5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
F3 - REG:win.ini: load=,DTMONX.EXE
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - (no file)
O2 - BHO: (no name) - {000E7270-CC7A-0786-8E7A-DA09B51938A6} - (no file)
O2 - BHO: NetAnts.IE.Monitor - {57E91B41-F40A-11D1-B792-444553540000} - C:\Program Files\NetAnts\AntAPI.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Smapp] Smtray.exe
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NetAnts\NAGet.htm
O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NetAnts\NAGetAll.htm
O9 - Extra button: NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe
O9 - Extra 'Tools' menuitem: &NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O18 - Filter: text/html - (no CLSID) - (no file)

po zaškrtnutí klikni na FixChecked

Potom začni vyhledávat tyto červeně označené soubory a všechny vymaž! Nastav si v Možnostech složky zobrazování skrytých a systémových souborů, abys je lépe nalezl.

C:\ied_s7.cab
C:\WINNT\TEMP\_istmp1.dir\_istmp0.dir\acodec.dll
C:\WINNT\TEMP\_istmp2.dir\_istmp0.dir\acodec.dll - složku Temp vyprázdni celou!!
C:\WINNT\system32\acodec.dll
C:\WINNT\system32\cd_clint.dll
C:\WINNT\system32\ia.dll
C:\WINNT\system32\im64.dll
C:\WINNT\system32\mset_bbi8010.exe
C:\WINNT\system32\NLNP13.exe
C:\WINNT\system32\sahagent1012.exe
C:\WINNT\wlxr.exe
C:\Documents and Settings\16ricany.lz6\Local Settings\temp\bb.exe
C:\Documents and Settings\16ricany.lz6\Local Settings\temp\riskware.avc [**]
C:\Documents and Settings\16ricany.lz6\Local Settings\temp\RSP001.DLL.dat
C:\Documents and Settings\16ricany.lz6\Local Settings\temp\Temporary Internet Files\Content.IE5\0X6BS163\logo%20spyware[1].gif [**] - složku Content.IE5 vyprázdni celou!
C:\Documents and Settings\16ricany.lz6\Local Settings\temp\organize\exe\iehelper.dll
C:\Documents and Settings\16ricany.lz6\Data aplikací\winshow

Pokud některý nenajdeš, zaznamenej si , který to byl!

V nabídce Start dej Spustit, napiš regedit a dej OK
V editoru registrů najdi tyto klíče a vymaž je (ale žádné jiné):

HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\clocksync !!!
HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\gain publishing !!!
HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\precisiontime !!!
HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\whenusearch !!!


Spusť Ccleaner a dej vyčistit windows, aplikace i registry. Potom nakoukni do složek Temp a Temporary Internet Files ve všech profilech Documents and Settings a Windows a vysyp koš. Restartuj do normálu a dej nový log na kontrolu.

[Reklama]

[strelec3751]

Provedl jsem vše podle návodu, k mému velkému údivu operační systém nastartoval a tak posílám nový log z hijacku.

P.S. podle pokynů jsem nakouknul do uvedených složek, ale k čemu to bylo dobré nevím, protože nemám zdání co bych tam měl hledat.
Také jsem nenašel některé vyse vypsane radky v hijacku. Asi polovina souvisela s NetAnts který jsem před číšěním odinstaloval. Jestli je to dulezite, mohu je sem vypsat.

Logfile of HijackThis v1.99.1
Scan saved at 22:05:26, on 23.6.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\Cpqdiag\Cpqdfwag.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINNT\System32\NMSSvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Compaq\Compaq EAB Software\cpqek.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINNT\system32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ConMet\ConMet.exe
C:\WINNT\system32\internat.exe
C:\Program Files\VOLNY\akcelerator\VOLNYakc.exe
C:\HPDESK\HPPDDIR.exe
C:\lotus\organize\easyclip6.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Program Files\GetRight\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: CHelper Class - {99A7C4DD-B2E6-4CA0-BB6E-737A61364155} - C:\Program Files\Eurotran2002i\e11.dll
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [cpqek] C:\Program Files\Compaq\Compaq EAB Software\cpqek.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINNT\system32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ConMet] C:\Program Files\ConMet\ConMet.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\RunServices: [CPQDFWAG] C:\WINNT\Cpqdiag\CpqDfwAg.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [akcelerator.volny.cz] C:\Program Files\VOLNY\akcelerator\VOLNYakc.exe
O4 - Startup: Lotus Organizer EasyClip.lnk = C:\lotus\organize\easyclip6.exe
O4 - Global Startup: Asistent.lnk = C:\HPDESK\HPPDDIR.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Analyzovat LeechGetem - file://C:\Program Files\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Download LeechGetem - file://C:\Program Files\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Download s průvodcem LeechGetu - file://C:\Program Files\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm
O8 - Extra context menu item: Zobrazit originál - C:\Program Files\VOLNY\akcelerator\original.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Eurotran - {572BF76C-9EFF-4e1e-93DE-72EF1E91B3DF} - C:\Program Files\Eurotran2002i\e11.dll
O9 - Extra 'Tools' menuitem: Eurotran - {572BF76C-9EFF-4e1e-93DE-72EF1E91B3DF} - C:\Program Files\Eurotran2002i\e11.dll
O9 - Extra button: Web Entry - {B4E30F61-16D9-11D3-85D1-005004229569} - c:\lotus\organize\bandobjs.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.centrum.cz/
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7FB5F37-E221-44FB-8601-2013DF0A9EC1}: NameServer = 193.165.254.9,193.165.192.9
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Compaq Remote Diagnostics Enabling Agent (CpqDfwWebAgent) - Compaq Computer Corporation - C:\WINNT\Cpqdiag\Cpqdfwag.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NMS Service (NMSSvc) - Intel Corporation - C:\WINNT\System32\NMSSvc.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Professional 2005.SR3\RpcSandraSrv.exe

[mijaja]

Opravdu nastartovaL? Hmm - to se dějou věci???:D

Do těch složek Temp a Temporary Internet Files jsi měl nakouknout jestli jsou prázdné - jestli jke Ccleaner řádně vyčistil, protože se tam rádi schovávají šmejdi.

No už fixni jen tyhle řádky:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm

Jinak tam už nic nevidím. Z těch souborů a klíčů, které jsi měl smazat a nenašel jsi je, tak je sem vypiš. Sestřelíme je Killboxem.

[strelec3751]

Zdravim,
tak jsem zlikvidovali i ty posledni dva klice a tady posilam ty, ktere se nepodarilo najit. Jsou tam i ty, co maji neco spolecneho s NetAnts, ktery jsem pred tou hlavni procedurou odinstaloval.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: NetAnts.IE.Monitor - {57E91B41-F40A-11D1-B792-444553540000} - C:\Program Files\NetAnts\AntAPI.dll
O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NetAnts\NAGet.htm
O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NetAnts\NAGetAll.htm
O9 - Extra button: NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe
O9 - Extra 'Tools' menuitem: &NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe

Jo a jenom pro úplnost, již někaký čas používám defaultně Mozillu

[mijaja]

No tohle jsi měl fixnout v HijackThisu

Kód: Vybrat vše

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: NetAnts.IE.Monitor - {57E91B41-F40A-11D1-B792-444553540000} - C:\Program Files\NetAnts\AntAPI.dll
O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NetAnts\NAGet.htm
O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\[color=red]NetAnts[/color]\NAGetAll.htm
O9 - Extra button: NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe
O9 - Extra 'Tools' menuitem: &NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe

Zaškrtnout políčko před tím řádkem a potom dole kliknout na FixChecked.

Z těchto souborů se mělo najít a smazat jen málo: Vlastně jenom složka NetAnts, která by eventuálně zbyla po odinstalaci. Spíše mě zajímá, co se nepodařilo odmazat z těch červeně označených souborů v dolní části:

C:\ied_s7.cab
C:\WINNT\TEMP\_istmp1.dir\_istmp0.dir\acodec.dll
C:\WINNT\TEMP\_istmp2.dir\_istmp0.dir\acodec.dll - složku Temp vyprázdni celou!!
C:\WINNT\system32\acodec.dll
C:\WINNT\system32\cd_clint.dll
C:\WINNT\system32\ia.dll
C:\WINNT\system32\im64.dll
C:\WINNT\system32\mset_bbi8010.exe
C:\WINNT\system32\NLNP13.exe
C:\WINNT\system32\sahagent1012.exe
C:\WINNT\wlxr.exe
C:\Documents and Settings\16ricany.lz6\Local Settings\temp\bb.exe
C:\Documents and Settings\16ricany.lz6\Local Settings\temp\riskware.avc [**]
C:\Documents and Settings\16ricany.lz6\Local Settings\temp\RSP001.DLL.dat
C:\Documents and Settings\16ricany.lz6\Local Settings\temp\Temporary Internet Files\Content.IE5\0X6BS163\logo%20spyware[1].gif [**] - složku Content.IE5 vyprázdni celou!
C:\Documents and Settings\16ricany.lz6\Local Settings\temp\organize\exe\iehelper.dll
C:\Documents and Settings\16ricany.lz6\Data aplikací\winshow

Tyhle soubory jsou z disku pryč? Tady je největší potenciál šmejdů. Pokud z těchto souborů něco zůstalo, tak by to nebylo dobré. No ale jelikož si to teď už asi těžko budeš pamatovat, udělej raději nový log z MWAVu. Jestli tam něco bude, tak ještě to zlikvidujeme.

[strelec3751]

Kupodivu si to jeste pamatuju, delal jsem si totiz poznamky . To ze jsem mel toto odstranit v hijacku vim, ale pri jeho spusteni jsem tam prave tyto radky uz nenasel. NetAns jsem po odinstalovani smazal, takze ten uz nemel moznost se tam vyskytovat. Jinak ty soubory jsem nasel vsechny.

[mijaja]

Pokud se ti to podařilo všechno zlikvidovat, měl bys mít vyhráno.

[strelec3751]

To je velice dobrá zpráva, jsem Ti tedy velice zavázan za účinnou pomoc, pokud bych Ti ji mohl nějak vynahradit, bylo by to pro mne potěšující.

Jak už jsem psal, mám v síti ještě jeden počítač, manželka na něm jede nějaké kancelářské programy a jsou na něm Win 98. Myslíš, že bys nějak bez psychické úhony zvládl s námi "projet" i ten.

[mijaja]

Tak sem s logama. Podíváme se na to.