Asiax
(Asiax)
27 Marzec 2006 12:48
#1
ktos wyslal mi linka do strony na ktorej jak sie okazalo byla masa wirusow. na pasku zadan mam ikonke YOUR COMPUTER IS INFECTED a avast ciagle wykrywa mi jakies wirusy ale jak klikam usun wyskakuje komunikat ze nie mozna nic zrobic. prosze o pomoc oto log
Logfile of HijackThis v1.99.1 Scan saved at 15:44:30, on 06-03-27 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\CARLOS\SYSTEM\KERNEL32.DLL C:\CARLOS\SYSTEM\MSGSRV32.EXE C:\CARLOS\SYSTEM\MPREXE.EXE C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE C:\CARLOS\SYSTEM\MSTASK.EXE C:\CARLOS\SYSTEM\mmtask.tsk C:\CARLOS\SYSTEM\KB891711\KB891711.EXE C:\CARLOS\SYSTEM\KERNELS8.EXE C:\CARLOS\EXPLORER.EXE C:\CARLOS\SYSTEM\DLH9JKDQ2.EXE C:\CARLOS\SYSTEM\INTERNAT.EXE C:\CARLOS\TASKMON.EXE C:\CARLOS\SYSTEM\SYSTRAY.EXE C:\CARLOS\EASYKEY.EXE C:\CARLOS\SYSTEM\HPZTSB09.EXE C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE C:\PROGRAM FILES\WINAMP\WINAMPA.EXE C:\PROGRAM FILES\CREATIVE\SHAREDLL\CTNOTIFY.EXE C:\CARLOS\SYSTEM\SPOOL32.EXE C:\PROGRAM FILES\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE C:\PROGRAM FILES\CREATIVE\SHAREDLL\MEDIADET.EXE C:\CARLOS\SYSTEM\WMIEXE.EXE C:\CARLOS\SYSTEM\RNAAPP.EXE C:\CARLOS\SYSTEM\RPCSS.EXE C:\CARLOS\SYSTEM\TAPISRV.EXE C:\PROGRAM FILES\GADU-GADU\GG.EXE C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE C:\CARLOS\SYSTEM\DDHELP.EXE C:\PROGRAM FILES\WINRAR\WINRAR.EXE C:\CARLOS\TEMP\RAR$EX00.208\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://81.222.131.49/index.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchcentral.cc/search.php?v=4&aff=3310 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchcentral.cc/index.php?v=4&aff=3310 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://81.222.131.49/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://81.222.131.49/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://81.222.131.49/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O1 - Hosts: 127.0.0.3 http://www.onedayoffer.biz O1 - Hosts: 127.0.0.3 onedayoffer.biz O1 - Hosts: 127.0.0.3 callmachine.net O1 - Hosts: 127.0.0.3 http://www.callmachine.net O1 - Hosts: 127.0.0.3 reportbucks.com O1 - Hosts: 127.0.0.3 http://www.reportbucks.com O1 - Hosts: 127.0.0.3 isuckall.com O1 - Hosts: 127.0.0.3 http://www.isuckall.com O1 - Hosts: 127.0.0.3 wbdialer.biz O1 - Hosts: 127.0.0.3 http://www.wbdialer.biz O1 - Hosts: 127.0.0.3 alphadialer.com O1 - Hosts: 127.0.0.3 http://www.alphadialer.com O1 - Hosts: 127.0.0.3 it.online-more.com O1 - Hosts: 127.0.0.3 http://www.it.online-more.com O1 - Hosts: 127.0.0.3 statscash.net O1 - Hosts: 127.0.0.3 http://www.statscash.net O1 - Hosts: 127.0.0.3 85.255.113.242 O1 - Hosts: 127.0.0.3 takeyourbucks.com O1 - Hosts: 127.0.0.3 http://www.takeyourbucks.com O1 - Hosts: 127.0.0.3 195.225.176.25 O1 - Hosts: 127.0.0.3 iframebiz.biz O1 - Hosts: 127.0.0.3 iframeurl.biz O1 - Hosts: 127.0.0.3 iframesite.biz O1 - Hosts: 127.0.0.3 toolbarbiz.biz O1 - Hosts: 127.0.0.3 toolbarsite.biz O1 - Hosts: 127.0.0.3 toolbarurl.biz O1 - Hosts: 127.0.0.3 toolbartraff.biz O1 - Hosts: 127.0.0.3 buytoolbar.biz O1 - Hosts: 127.0.0.3 http://www.iframebiz.biz O1 - Hosts: 127.0.0.3 http://www.iframeurl.biz O1 - Hosts: 127.0.0.3 http://www.iframesite.biz O1 - Hosts: 127.0.0.3 http://www.toolbarbiz.biz O1 - Hosts: 127.0.0.3 http://www.toolbarsite.biz O1 - Hosts: 127.0.0.3 http://www.toolbarurl.biz O1 - Hosts: 127.0.0.3 http://www.toolbartraff.biz O1 - Hosts: 127.0.0.3 http://www.buytoolbar.biz O1 - Hosts: 127.0.0.3 81.9.5.9 O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com O1 - Hosts: 127.0.0.3 http://www.sexfiles.nu O1 - Hosts: 127.0.0.3 awmdabest.com O1 - Hosts: 127.0.0.3 sexfiles.nu O1 - Hosts: 127.0.0.3 allforadult.com O1 - Hosts: 127.0.0.3 http://www.allforadult.com O1 - Hosts: 127.0.0.3 http://www.iframe.biz O1 - Hosts: 127.0.0.3 iframe.biz O1 - Hosts: 127.0.0.3 procounter.biz O1 - Hosts: 127.0.0.3 http://www.procounter.biz O1 - Hosts: 127.0.0.3 advadmin.biz O1 - Hosts: 127.0.0.3 http://www.advadmin.biz O1 - Hosts: 127.0.0.3 trafficbest.net O1 - Hosts: 127.0.0.3 http://www.trafficbest.net O1 - Hosts: 127.0.0.3 http://www.newiframe.biz O1 - Hosts: 127.0.0.3 newiframe.biz O1 - Hosts: 127.0.0.3 http://www.vesbiz.biz O1 - Hosts: 127.0.0.3 vesbiz.biz O1 - Hosts: 127.0.0.3 http://www.pizdato.biz O1 - Hosts: 127.0.0.3 pizdato.biz O1 - Hosts: 127.0.0.3 http://www.aaasexypics.com O1 - Hosts: 127.0.0.3 aaasexypics.com O1 - Hosts: 127.0.0.3 http://www.virgin-tgp.net O1 - Hosts: 127.0.0.3 vparivalka.com O1 - Hosts: 127.0.0.3 http://www.vparivalka.com O1 - Hosts: 127.0.0.3 iframeprofit.com O1 - Hosts: 127.0.0.3 http://www.iframeprofit.com O1 - Hosts: 127.0.0.3 virgin-tgp.net O1 - Hosts: 127.0.0.3 http://www.awmcash.biz O1 - Hosts: 127.0.0.3 awmcash.biz O1 - Hosts: 127.0.0.3 buldog-stats.com O1 - Hosts: 127.0.0.3 http://www.buldog-stats.com O1 - Hosts: 127.0.0.3 fregat.drocherway.com O1 - Hosts: 127.0.0.3 slutmania.biz O1 - Hosts: 127.0.0.3 http://www.slutmania.biz O1 - Hosts: 127.0.0.3 toolbarpartner.com O1 - Hosts: 127.0.0.3 http://www.toolbarpartner.com O1 - Hosts: 127.0.0.3 http://www.megapornix.com O1 - Hosts: 127.0.0.3 megapornix.com O1 - Hosts: 127.0.0.3 http://www.sp2fucked.biz O1 - Hosts: 127.0.0.3 sp2fucked.biz O1 - Hosts: 127.0.0.3 greg-tut.com O1 - Hosts: 127.0.0.3 http://www.greg-tut.com O1 - Hosts: 127.0.0.3 nylonsexy.com O1 - Hosts: 127.0.0.3 http://www.nylonsexy.com O1 - Hosts: 127.0.0.3 topsearch10.com O1 - Hosts: 127.0.0.3 http://www.topsearch10.com O1 - Hosts: 127.0.0.3 statscash.biz O1 - Hosts: 127.0.0.3 http://www.statscash.biz O1 - Hosts: 127.0.0.3 vxiframe.biz O1 - Hosts: 127.0.0.3 http://www.vxiframe.biz O1 - Hosts: 127.0.0.3 crazy-toolbar.com O1 - Hosts: 127.0.0.3 http://www.crazy-toolbar.com O1 - Hosts: 127.0.0.3 topcash.biz O1 - Hosts: 127.0.0.3 http://www.topcash.biz O1 - Hosts: 127.0.0.3 loadcash.biz O1 - Hosts: 127.0.0.3 http://www.loadcash.biz O1 - Hosts: 127.0.0.3 txiframe.biz O1 - Hosts: 127.0.0.3 http://www.txiframe.biz O1 - Hosts: 127.0.0.3 besthvac.com O1 - Hosts: 127.0.0.3 http://www.besthvac.com O1 - Hosts: 127.0.0.3 traff4.com O1 - Hosts: 127.0.0.3 http://www.traff4.com O1 - Hosts: 127.0.0.3 porn-host.org O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0 CE\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\CARLOS\SYSTEM\MSBE.DLL (file missing) O2 - BHO: (no name) - {83566017-D1A8-8754-D34B-8B1D834147C8} - C:\CARLOS\SYSTEM\KXPJU.DLL (file missing) O2 - BHO: (no name) - {1C9D4E41-FCF8-A906-855E-AA7F1518DD9D} - C:\CARLOS\SYSTEM\BDE.DLL (file missing) O2 - BHO: (no name) - {43E52215-9CF9-9E57-82FE-C06934F88E9C} - C:\CARLOS\SYSTEM\DGK.DLL (file missing) O2 - BHO: (no name) - {D8E54B87-FC69-FDCC-1CF7-F05A64391BCC} - C:\CARLOS\SYSTEM\BHQXR.DLL (file missing) O2 - BHO: (no name) - {9D062337-CDD0-9772-F0B9-942C83605492} - C:\CARLOS\SYSTEM\MGM.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\CARLOS\SYSTEM\MSDXM.OCX O4 - HKLM…\Run: [internat.exe] internat.exe O4 - HKLM…\Run: [scanRegistry] C:\CARLOS\scanregw.exe /autorun O4 - HKLM…\Run: [TaskMonitor] C:\CARLOS\taskmon.exe O4 - HKLM…\Run: [systemTray] SysTray.Exe O4 - HKLM…\Run: [CHotKey] Easykey.exe O4 - HKLM…\Run: [HP Software Update] “C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe” O4 - HKLM…\Run: [HP Component Manager] “C:\Program Files\HP\hpcoretech\hpcmpmgr.exe” O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\CARLOS\SYSTEM\hpztsb09.exe O4 - HKLM…\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM…\Run: [Media Access] C:\PROGRAM FILES\MEDIA ACCESS\MediaAccK.exe O4 - HKLM…\Run: [saap] c:\program files\180search assistant\saap.exe O4 - HKLM…\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE O4 - HKLM…\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM…\Run: [autoclk] autoclk.exe O4 - HKLM…\Run: [WinampAgent] “C:\PROGRAM FILES\WINAMP\WINAMPa.exe” O4 - HKLM…\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe O4 - HKLM…\Run: [Transparent] Trans.exe O4 - HKLM…\Run: [system] C:\CARLOS\SYSTEM\kernels8.exe O4 - HKLM…\RunServices: [PavProc] C:\Program Files\Common Files\Panda Software\PavShld\PavPrS9x.exe O4 - HKLM…\RunServices: [avast!] C:\Program Files\Alwil Software\Avast4\ashServ.exe O4 - HKLM…\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM…\RunServices: [schedulingAgent] C:\CARLOS\SYSTEM\mstask.exe O4 - HKLM…\RunServices: [KB891711] C:\CARLOS\SYSTEM\KB891711\KB891711.EXE O4 - HKLM…\RunServices: [systemTools] C:\CARLOS\SYSTEM\kernels8.exe O4 - HKCU…\Run: [urd] \hpqx.exe O4 - HKCU…\Run: [Windows update loader] C:\Windows\xpupdate.exe O4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Startup: Skrót do Neostrada Plus.lnk = ? O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\CARLOS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\CARLOS\web\related.htm O12 - Plugin for .pdf&&DI=293&IG=9a5882da169d4bd7989c61e7c25c86a5&POS=6&CM=WPU&CE=6&CS=AWP&SR=6: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll O15 - Trusted Zone: *.windupdates.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.xxxtoolbar.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.ysbweb.com O15 - Trusted Zone: *.slotchbar.com O15 - Trusted Zone: http://www.redfunny.com O15 - Trusted Zone: http://www.skymasters.biz O15 - Trusted Zone: http://www.archiviosex.net O15 - Trusted Zone: http://www.linkautomatici.com O15 - Trusted Zone: *.windupdates.com (HKLM) O15 - Trusted Zone: *.searchbarcash.com (HKLM) O15 - Trusted Zone: *.searchmiracle.com (HKLM) O15 - Trusted Zone: *.skoobidoo.com (HKLM) O15 - Trusted Zone: *.my-internet.info (HKLM) O15 - Trusted Zone: *.xxxtoolbar.com (HKLM) O15 - Trusted Zone: *.slotch.com (HKLM) O15 - Trusted Zone: *.flingstone.com (HKLM) O15 - Trusted Zone: *.mt-download.com (HKLM) O15 - Trusted Zone: *.blazefind.com (HKLM) O15 - Trusted Zone: *.clickspring.net (HKLM) O15 - Trusted Zone: *.ysbweb.com (HKLM) O15 - Trusted Zone: *.slotchbar.com (HKLM) O15 - Trusted IP range: 81.222.131.59 O15 - Trusted IP range: 81.222.131.59 (HKLM) O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxxx.mht!http://www.kazaalite.pl/stats/xaw.chm::/bridge-c18.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - ms-its:mhtml:file://c:\nosuxxx.mht!http://kazaalite.pl/stats/mt.chm::/MediaTicketsInstaller.cab O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Media … dge-c6.cab O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://C:osuch.mht!http://81.222.131.59/dl/adv666/x.chm::/load.exe O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\CARLOS\isrvs\mfiltis.dll
Złączono Posta : 27.03.2006 (Pon) 14:51
Jak cos to u mnie CARLOS to WINDOWS
====================================
Widziałeś ten komunikat Ważny komunikat dotyczący tytułowania tematów zastosuj sie do niego => inaczej temat poleci do śmietnika :evil:
Pozdrawiam kuz5
system
(system)
27 Marzec 2006 12:53
#2
loga ci nie sprzwdze ale tez mialem mase wirosow i avast zaczal panikowac ze za duzo takich samych wiadomosci czy cos takiego!! odinstaloj avasta i wzoc jakiegos antywirusa np. antivir i spradz czy usunie te witusy
Asiax
(Asiax)
27 Marzec 2006 12:57
#3
antivira mialam i zadowolona nie jestm…bo po angielsku :D:D
system
(system)
27 Marzec 2006 12:59
#4
pobierz wersje trial kasprzaka http://kaspersky.pl/
Asiax
(Asiax)
27 Marzec 2006 13:05
#5
a moze by tak najpierw sprobowac z tym logiem :mrgreen:
Bieniol
(Bbieniol)
27 Marzec 2006 13:06
#6
W trybie awaryjnym usuwasz (wpisy Hijackiem, pliki/foldery pogrubione ręcznie z dysku):
Odinstaluj Media Access w dodaj/usuń programy
Znasz tą stronkę?
Asiax
(Asiax)
27 Marzec 2006 13:09
#7
Z adresu nie bardzo… a co??
Złączono Posta : 27.03.2006 (Pon) 15:11
Czyli jak mi sie komp restartuje to wciskam F8 i na tryb awaryjny tak??
Bieniol
(Bbieniol)
27 Marzec 2006 13:18
#8
Zgadza się
A sama ustawiałaś stronę startową w Internet Explorer?
Asiax
(Asiax)
27 Marzec 2006 13:26
#9
no…mialam google wiec nie sama wiec jak to zmienic??
ktore to sa wpisy a ktore pliki lub foldery??
To tez w trybie awaryjnym??
Bieniol
(Bbieniol)
27 Marzec 2006 13:30
#10
W takim razie do usunięcia dochodzi jeszcze to:
Wszystko co zacytowałem w pierwszy moim poście i w tym tutaj usuwasz w Hijacku (odpalasz program HijackThis w trybie awaryjnym --> “Do a system scan” --> zaznaczasz ptaszki przy wskazanych wpisach i bierzesz na dole “Fix checked”)
Pogrubione pliki/foldery usuwasz ręcznie z dysku
Zapomniałem, że nie masz systemu XP, dlatego w trybie awaryjnym po prostu odinstalowujesz Media Access
Asiax
(Asiax)
27 Marzec 2006 13:37
#11
Nie wiem moze ja jestem ciemna ale tak dla pewnosci :)
Wszystko, czyli to co na taki niebieski kolor czy w ogole wszystko
Bieniol
(Bbieniol)
27 Marzec 2006 13:42
#12
Jeszcze raz, żeby nie było niedomówień. Włączasz tryb awaryjny:
Odinstalowujesz Media Access.
W Hijacku (już wiesz jak) usuwasz te wpisy:
Wszystko, co zacytowałem - przy tych wpisach dajesz ptaszki
Następnie usuwasz ręcznie z dysku te pogrubione pliki/foldery:
Mam nadzieje, że teraz już wszystko jasne
snap
(snap)
27 Marzec 2006 13:52
#14
Jak ci nie pomoże to proponuję http://safety.live.com/site/en-US/default.htm Jeśłi masz legalnego windowsa , zainstaluj i przeskanuj
Bieniol
(Bbieniol)
27 Marzec 2006 14:01
#15
To co napisałem to powinno pomóc - a jeżeli nie to nadal będziemy walczyć
@ Asiax --> po wszystkim daj jeszcze raz log z Hijacka do kontroli
Bieniol
(Bbieniol)
27 Marzec 2006 14:26
#17
Jeszcze troszeczke zostało - w trybie awaryjnym tak samo jak ostatnio:
I usuwasz z dysku plik:
C:\CARLOS\SYSTEM\ kernels8.exe
Asiax
(Asiax)
27 Marzec 2006 14:26
#18
Juz widze duza roznice, jednak nie znalazlam tych plikow:
I nie odinstalowalam Media Access, poniewaz nie wiem dlaczego ale nie mam Dodaj/Usun Programy!
adam9870
(adam9870)
27 Marzec 2006 14:34
#19
Czasami te wpisy 015 które podał do usuniecia Bieniol mogą stanowic opor (akrat tak jest ) wiec skorzystaj z programu KillTrusted 0.7
O ile dobrze pamietam to aby je usunac w nim trzeba uruchomic program i nacisnac DeleteTrustedZONES! Wtedy powinno byc ok.
Na koniec oczywiscie dajesz nowy log z HijackThis.
Asiax
(Asiax)
27 Marzec 2006 14:40
#20
Nie wiem dlaczego, ale jak wlaczam KillTrusted 0.7 to mi wyskakuje komunikat nieoczekiwany koniec archiwum :o