Logi

jarek_c · 11 Listopad 2004 17:34

proszę o pomoc! po podłączeniu do sieci ściągają się wirusy

moj log

Logfile of HijackThis v1.97.7 Scan saved at 18:10:59, on 11-11-2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe C:\WINDOWS\System32\atiptaxx.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe C:\Program Files\Ahead\InCD\InCD.exe C:\Program Files\QuickTime\qttask.exe C:\WINDOWS\System32\CTHELPER.EXE C:\PROGRA~1\NEOSTR~1\CnxMon.exe C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe C:\Program Files\Neostrada TP\taskbaricon.exe C:\WINDOWS\System32\twink64.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\stickies\stickies.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Broadband4PC\bin\Server4PC.exe C:\Program Files\Neostrada TP\NeostradaTP.exe C:\Program Files\Neostrada TP\ComComp.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\Norton Utilities\NPROTECT.EXE C:\Program Files\Speed Disk\nopdb.exe C:\Program Files\Neostrada TP\Watch.exe C:\WINDOWS\System32\ir.exe D:\Freeware\totalcmd\TOTALCMD.EXE D:\virus\HijackThis.exe R3 - URLSearchHook: (no name) - {6CC1C918-AE8B-4373-A5B4-28BA1851E39A} - (no file) R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_5_0.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {3B249E6F-7CA5-4F33-85A1-FA3F04A459E6} - (no file) O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll O2 - BHO: (no name) - {C5183ABC-EB6E-4E05-B8C9-500A16B6CF94} - (no file) O2 - BHO: (no name) - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\system32\StopzillaBH0.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_5_0.dll O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM…\Run: [AtiPTA] atiptaxx.exe O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM…\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe O4 - HKLM…\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime O4 - HKLM…\Run: [Printer] C:\windows\system32\wintme.exe O4 - HKLM…\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM…\Run: [updReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM…\Run: [Jet Detection] “C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe” O4 - HKLM…\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run O4 - HKLM…\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe O4 - HKLM…\Run: [speedTouch USB Diagnostics] “C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon O4 - HKLM…\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe O4 - HKLM…\Run: [WOOTASKBARICON] C:\Program Files\Neostrada TP\taskbaricon.exe O4 - HKLM…\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [kartki] C:\Program Files\stickies\stickies.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [Easimp3] C:\PROGRA~1\EASIMP3\Easimp3.exe minimized O4 - HKCU…\Run: [Ctpi] C:\Documents and Settings\Jarek.JAREK-RYY444FIR\Dane aplikacji\aura.exe O4 - Global Startup: FlashGet.lnk = C:\Program Files\FlashGet\flashget.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Server4PC.lnk = C:\Program Files\Broadband4PC\bin\Server4PC.exe O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm O8 - Extra context menu item: Ściągnij przy pomocy FlashGet’a - C:\Program Files\FlashGet\jc_link.htm O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet’a - C:\Program Files\FlashGet\jc_all.htm O9 - Extra button: FlashGet (HKLM) O9 - Extra ‘Tools’ menuitem: &FlashGet (HKLM) O13 - WWW. Prefix: http://ehttp.cc/? O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.windupdates.com O15 - Trusted Zone: *.xxxtoolbar.com O16 - DPF: ING Bank Online - https://ssl.bsk.com.pl/bskonl/component/INGOnl.cab O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shoc … tor/sw.cab O16 - DPF: {1F831FAC-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar … vSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v … 0154063984 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar … /cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004 … scan53.cab O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday) - O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/controls/SassCln.CAB O16 - DPF: {AE56372C-B4F5-11D4-A415-00108302FDFD} - O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/sh … wflash.cab O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - O17 - HKLM\System\CCS\Services\Tcpip…{F4CEC508-4C7C-43C9-AF95-4C897C740729}: NameServer = 194.204.152.34 217.98.63.164

piotralek · 11 Listopad 2004 18:03

Wiersz:

lsass.exe, czyli Local Security Authority Service wywołuje on samoczynne wyłącznie systemu.

To jest wirus Worm32.Sasser, który ma różne odmiany A,B,C itp.

Przeskanuj kompa skanerem online.

Aby nie “łapać” wirusów po prostu zainstaluj (jeśli nie masz) firewalla.

Pozdrowienia 8)

Kamcia_18 · 11 Listopad 2004 18:08

piotralek :o :o

hiihi znowu ta sama historia nie wprawadzaj ludzi w blad

a co do Loga daj mi czas bo troche tego jest

zaraz sie nim zajme i nic sam niekombinuj

Kamcia_18 · 11 Listopad 2004 18:41

kasujesz tak /tryb awaryjny/

R3 - URLSearchHook: (no name) - {6CC1C918-AE8B-4373-A5B4-28BA1851E39A} - (no file)

O2 - BHO: (no name) - {3B249E6F-7CA5-4F33-85A1-FA3F04A459E6} - (no file)

O2 - BHO: (no name) - {C5183ABC-EB6E-4E05-B8C9-500A16B6CF94} - (no file)

O4 - HKLM…\Run: [Printer] C:\windows\system32\wintme.exe

[znasz zostawiasz /NIE/ kasujesz]

O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm

O13 - WWW. Prefix: http://ehttp.cc/ ?

O15 - Trusted Zone: *.blazefind.com

O15 - Trusted Zone: *.clickspring.net

O15 - Trusted Zone: *.flingstone.com

O15 - Trusted Zone: *.mt-download.com

O15 - Trusted Zone: *.my-internet.info

O15 - Trusted Zone: *.searchbarcash.com

O15 - Trusted Zone: *.searchmiracle.com

O15 - Trusted Zone: *.skoobidoo.com

O15 - Trusted Zone: *.slotch.com

O15 - Trusted Zone: *.windupdates.com

O15 - Trusted Zone: *.xxxtoolbar.com

/sciagasz/

PestPatrol

INFO:

skanujesz partycje systemowa

Ustawiasz na stale ochrone rzeczywista

Options/AutomaticScans

dajesz Launch

w PPMem, PPControl, CookiePatrol.

Spybot Search and Destroy V1.3.2b - tym dzialasz dalej

http://js-http.skycn.net:8181/down/spybotsd132b.exe

/mirror/

http://xj-http.skycn.net:8080/down/spybotsd132b.exe

skan skanerami AV

–F-Secure–

http://support.f-secure.com/enu/home/ols.shtml

–GeCAD (RAV)–

http://www.ravantivirus.com/scan/

–Softwin (BitDefender)–

http://www.bitdefender.com/scan/licence.php

do 016-ActiveX szczegolnie tych groznych (zabezpieczenie przegladarek)

uzyj softu SpywareBlaster

http://www.javacoolsoftware.com/sbdownload.html

INFO:

http://forum.dobreprogramy.pl/viewtopic … ht=blaster

Phylby · 11 Listopad 2004 18:46

wyłącz przywracanie sys.

Start kompa do trybu awaryjnego

Za pomoćą HT usuń

R3 - URLSearchHook: (no name) - {6CC1C918-AE8B-4373-A5B4-28BA1851E39A} - (no file) 


O2 - BHO: (no name) - {3B249E6F-7CA5-4F33-85A1-FA3F04A459E6} - (no file) 

O2 - BHO: (no name) - {C5183ABC-EB6E-4E05-B8C9-500A16B6CF94} - (no file) 

O2 - BHO: (no name) - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\system32\StopzillaBH0.dll

Znajdz na dyski i usuń StopzillaBH0.dll Ubij proces . albo : Start -> uruchom -> regsvr32 \u C:\WINDOWS\System32\ tu wpisujesz nazwe pliku - i klikasz Teraz znajdz i usuń. To jest plik ukryty. To jest trojan Użyj :Pestpatrol poierz mu odrazu najnowsze bazy danych

O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm 

O13 - WWW. Prefix: http://ehttp.cc/? 

O15 - Trusted Zone: *.blazefind.com 

O15 - Trusted Zone: *.clickspring.net 

O15 - Trusted Zone: *.flingstone.com 

O15 - Trusted Zone: *.mt-download.com 

O15 - Trusted Zone: *.my-internet.info 

O15 - Trusted Zone: *.searchbarcash.com 

O15 - Trusted Zone: *.searchmiracle.com 

O15 - Trusted Zone: *.skoobidoo.com 

O15 - Trusted Zone: *.slotch.com 

O15 - Trusted Zone: *.windupdates.com 

O15 - Trusted Zone: *.xxxtoolbar.com 

O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab 

O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab 

O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab 

O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe

O16 - DPF: {1F831FAC-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - 

O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday) -

O16 - DPF: {AE56372C-B4F5-11D4-A415-00108302FDFD} -

Użyj teraz tego :

CWShredder Version 2.0

W kluczach:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main oraz

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main

Default_Page_URL = [www.zły wpis.com] >>> usuwasz

Default_Search_URL = [www.zły wpis.com] >>> usuwasz

Search Bar = [www.zły wpis.com] >>> usuwasz

Search Page = [www.zły wpis.com] >>> usuwasz

Start Page = [www.dobry wpis.com] >>> w tu jest wpis stronki startowej

Use Search Assistant = “yes” >>> zmieniasz na “no”

W kluczach:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search oraz

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search

CustomizeSearch = [www.zły wpis.com] >>> usuwasz

SearchAssistant = [www.zły wpis.com] >>> usuwasz

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchURL

[www.syf.com] >>> usuwasz

Sprawdzasz jeszcze klucze gdzie sie ładuja wirki i trojany:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

Jak nie masz wszystkich kluczy to sie nie przejmuj. Moze ich nie być.

Kamcia_18 · 11 Listopad 2004 19:01

O2 - BHO: (no name) - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\system32\StopzillaBH0.dll

Phylby

powiedz skad wiesz ze to jest trojan, czy wogle jest

podaj jakas stronke se oblukam co pisze ze tak

chyba o to ci chodzilo z tym linkiem na dole

http://download.intermute.com/?p=sp&o=1005A

przekonales sie do progsu, juz nieraz mi uratowal skore

wiec jest spox

Phylby · 11 Listopad 2004 19:14

Ja trojany wyczuwan na odległość . Nosem ! :lol: :lol: :lol:

Przekonamy sie zresztą zaraz. Jak się jarek_c odezwie.

Po usunięciu co trzeba jarek_c daj nowego loga ale nowszą wersją HijackThis v1.98.2.

HijackThis 1.98.2

I powiedz jak sie stronki zachowują .

Ps.

Kamcia_18

To jest pełna wersja ? cha cha…

Ps .

Dobra - znieniłem nicki.

fiesta · 11 Listopad 2004 19:20

Piotralek to lepiej żeby się w sprawie logów nie zabierał głosu o czym świadczy jego post powyżej.

To jest log jarka_c

Shark · 11 Listopad 2004 19:22

Jak PRO to chyba pełna …

Zainstaluj jeszcze SP2 …

No Phylby - niezły węch … :-o

jarek_c · 11 Listopad 2004 20:07

wielkie dzieki dla wszystkich…czytam to czytam i czytam i biore sie do roboty…troche mi to zajmie…raz jeszcze dzieki…

Kamcia_18 · 11 Listopad 2004 20:43

Phylby, kolego tu niema nic nosem jak niemasz potwierdzenia

i pewnosci to nic niepisz

bo wprowadzasz ludzi w blad bo ta pozycja na stronie

/02 - BHO czyli Browser Helper Objects/

/O3 - Paski narzędziowe w IE/

–BHO & Toolbar List–

http://www.sysinfo.org/bholist.php

jest czysta

widac ze lubimy posty zmieniac cio hehehe

dobre

popelniamy bledy

asterisk · 11 Listopad 2004 21:16

Daruj sobie takie uwagi

jarek_c · 11 Listopad 2004 22:19

Niestety nie pomogło, po restarcie kompa zaczeły ładować się trojany

nowy log

Logfile of HijackThis v1.98.2 Scan saved at 23:15:43, on 11-11-2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe C:\WINDOWS\System32\atiptaxx.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe C:\Program Files\Ahead\InCD\InCD.exe C:\Program Files\QuickTime\qttask.exe C:\WINDOWS\System32\CTHELPER.EXE C:\PROGRA~1\NEOSTR~1\CnxMon.exe C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe C:\Program Files\Neostrada TP\taskbaricon.exe C:\WINDOWS\System32\twink64.exe C:\PROGRA~1\PESTPA~1\PPControl.exe C:\PROGRA~1\PESTPA~1\PPMemCheck.exe C:\PROGRA~1\PESTPA~1\CookiePatrol.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\stickies\stickies.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Broadband4PC\bin\Server4PC.exe C:\Program Files\interMute\SpySubtract\SpySub.exe C:\Program Files\Neostrada TP\NeostradaTP.exe C:\Program Files\Neostrada TP\ComComp.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\Norton Utilities\NPROTECT.EXE C:\Program Files\Speed Disk\nopdb.exe C:\Program Files\Neostrada TP\Watch.exe C:\WINDOWS\System32\ir.exe D:\Freeware\totalcmd\TOTALCMD.EXE C:\Program Files\Internet Explorer\IEXPLORE.EXE D:\virus\HijackThis.exe R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_5_0.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_5_0.dll O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM…\Run: [AtiPTA] atiptaxx.exe O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM…\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe O4 - HKLM…\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime O4 - HKLM…\Run: [Printer] C:\windows\system32\wintme.exe O4 - HKLM…\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM…\Run: [updReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM…\Run: [Jet Detection] “C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe” O4 - HKLM…\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run O4 - HKLM…\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe O4 - HKLM…\Run: [speedTouch USB Diagnostics] “C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon O4 - HKLM…\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe O4 - HKLM…\Run: [WOOTASKBARICON] C:\Program Files\Neostrada TP\taskbaricon.exe O4 - HKLM…\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile O4 - HKLM…\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe O4 - HKLM…\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe O4 - HKLM…\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [kartki] C:\Program Files\stickies\stickies.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [Easimp3] C:\PROGRA~1\EASIMP3\Easimp3.exe minimized O4 - HKCU…\Run: [Ctpi] C:\Documents and Settings\Jarek.JAREK-RYY444FIR\Dane aplikacji\aura.exe O4 - Global Startup: FlashGet.lnk = C:\Program Files\FlashGet\flashget.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Server4PC.lnk = C:\Program Files\Broadband4PC\bin\Server4PC.exe O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe O8 - Extra context menu item: Ściągnij przy pomocy FlashGet’a - C:\Program Files\FlashGet\jc_link.htm O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet’a - C:\Program Files\FlashGet\jc_all.htm O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe (file missing) O9 - Extra ‘Tools’ menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe (file missing) O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.windupdates.com O15 - Trusted Zone: *.xxxtoolbar.com O16 - DPF: ING Bank Online - https://ssl.bsk.com.pl/bskonl/component/INGOnl.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar … vSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v … 0154063984 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar … /cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004 … scan53.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - O17 - HKLM\System\CCS\Services\Tcpip…{F4CEC508-4C7C-43C9-AF95-4C897C740729}: NameServer = 194.204.152.34 217.98.63.164 O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)

Phylby · 12 Listopad 2004 02:41

Start do awaryjnego

usuń ręcznie

C:\WINDOWS\System32\twink64.exe

Za pomoćą HT

usuń

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL 

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_5_0.dll 

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_5_0.dll 

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE 

O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile 

O4 - HKCU\..\Run: [Easimp3] C:\PROGRA~1\EASIMP3\Easimp3.exe minimized 

O15 - Trusted Zone: *.blazefind.com 

O15 - Trusted Zone: *.clickspring.net 

O15 - Trusted Zone: *.flingstone.com 

O15 - Trusted Zone: *.mt-download.com 

O15 - Trusted Zone: *.my-internet.info 

O15 - Trusted Zone: *.searchbarcash.com 

O15 - Trusted Zone: *.searchmiracle.com 

O15 - Trusted Zone: *.skoobidoo.com 

O15 - Trusted Zone: *.slotch.com 

O15 - Trusted Zone: *.windupdates.com 

O15 - Trusted Zone: *.xxxtoolbar.com

Sprawdz czy nie masz czegoś nie chcianego w Dodaj/Usuń Użyj teraz CWShredder Version 2.0 Pestpatrol Ad-Aware SE Personal Odwiedz: http://skaner.mks.com.pl/http://security.symantec.com/sscv6/defa … &venid=sym http://www.pandasoftware.com/activescan … IdPais=152 http://www.pestscan.com/http://www.spywareinfo.com/xscan.php http://www.webroot.com/services/spyaudit_03.htmPs . Jeszcze masz

O4 - HKLM\..\Run: [Printer] C:\windows\system32\wintme.exe

Usuń to ręcznie - wintme.exe zbij proces jak ma i dopiero usuwaj. i za pomocą HT. Co ta za aura.exe?

O4 - HKCU\..\Run: [Ctpi] C:\Documents and Settings\Jarek.JAREK-RYY444FIR\Dane aplikacji\aura.exe