A wiec robie plakat z kolegą, ściągamy zdjęcia z internetu. zostawiam chłopaka z moim komputerem. Wracam i jest otwarte 24 okna internet explolera. On sie zarzeka że go nawet nie używał itd.

Data sie zmienila na 2005 rok

jak chce to zmienic to sie nie da

ogolnie komputer zaczął sie zachowywac bardzo dziwnie.

HELP!

wrzucam log z hijack’a

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 1:23:42 PM, on 12/25/2005

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.exe

C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

C:\WINDOWS\system32\usbplay.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Toshiba\Windows Utilities\Hotkey.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\WINDOWS\system32\bcd2kcpan.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\igfxext.exe

C:\Program Files\yok\yok.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\iTunes\iTunes.exe

C:\Program Files\Opera\Opera.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://kzdh.com/?g

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://g.msn.co.uk/8SEENGB020100/FRWCompleteAddIns

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = L1cza

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: Shell=Explorer.exe usbhelp.exe

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: YOK3¬1¶ËNË÷ - {75FE2B5A-D3A4-4EFA-AC11-ADC9C9459688} - C:\PROGRA~1\yok\toolbar.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: YOK3¬1¶ËNË÷ - {F869BB38-FFEF-4589-B986-610B7AD0ADA2} - C:\PROGRA~1\yok\toolbar.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Toshiba Hotkey Utility] "C:\Program Files\Toshiba\Windows Utilities\Hotkey.exe" /lang PL

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [BCD2000] %SystemRoot%\system32\bcd2kcpan.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [SSLDyn] C:\WINDOWS\SSLDyn.exe

O4 - HKLM\..\Run: [Kvsc3] C:\WINDOWS\Kvsc3.exE

O4 - HKLM\..\Run: [mppds] C:\WINDOWS\mppds.exe

O4 - HKLM\..\Run: [DbgHlp32] C:\WINDOWS\DbgHlp32.exe

O4 - HKLM\..\Run: [MsPrint32D] C:\WINDOWS\qkkssb.exe

O4 - HKLM\..\Run: [upxdnd] C:\WINDOWS\upxdnd.exe

O4 - HKLM\..\Run: [cmdbcs] C:\WINDOWS\cmdbcs.exe

O4 - HKLM\..\Run: [msccrt] C:\WINDOWS\msccrt.exe

O4 - HKLM\..\Run: [MsIMMs32] C:\WINDOWS\MsIMMs32.exE

O4 - HKLM\..\Run: [LotusHlp] C:\WINDOWS\LotusHlp.exe

O4 - HKLM\..\Run: [PTSShell] C:\WINDOWS\PTSShell.exe

O4 - HKLM\..\Run: [NVDispDrv] C:\WINDOWS\tcnyvr.exe

O4 - HKLM\..\Run: [WINSvr32] C:\WINDOWS\WINSvr32.exE

O4 - HKLM\..\Run: [yok.exe] C:\Program Files\yok\yok.exe

O4 - HKLM\..\Run: [WinSysM] C:\WINDOWS\853957M.exe

O4 - HKLM\..\Run: [WinSysW] C:\WINDOWS\853957L.exe

O4 - HKLM\..\Run: [AVPSrv] C:\WINDOWS\AVPSrv.exE

O4 - HKLM\..\Run: [NAVMon32] C:\WINDOWS\NAVMon32.exE

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart

O4 - HKLM\..\Policies\Explorer\Run: [MSDEG32] LYLoader.exe

O4 - HKLM\..\Policies\Explorer\Run: [MSDWG32] LYLoadbr.exe

O4 - HKLM\..\Policies\Explorer\Run: [MSDCG32] LYLeador.exe

O4 - HKLM\..\Policies\Explorer\Run: [MSDOG32] LYLoador.exe

O4 - HKLM\..\Policies\Explorer\Run: [MSDSG32] LYLoadar.exe

O4 - HKLM\..\Policies\Explorer\Run: [MSDMG32] LYLoadmr.exe

O4 - HKLM\..\Policies\Explorer\Run: [MSDHG32] LYLoadhr.exe

O4 - HKLM\..\Policies\Explorer\Run: [MSDQG32] LYLoadqr.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Export to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: YOKł¬Ľ¶ËŃË÷ - C:\PROGRA~1\yok\yoksch.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B11066E6-8DAD-4923-99EF-C554E99E57A3}: NameServer = 202.102.134.68 202.102.128.68

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: DD919517 - Unknown owner - C:\WINDOWS\system32\C49C13D6.EXE

O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Serviceusbhelp - Unknown owner - C:\WINDOWS\system32\usbplay.exe

O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe


--

End of file - 8302 bytes

Pobierz SDFix.

1. Naciśnij dwa razy na plik SDFix.exe. Program wypakuje się na dysk systemowy – C:\SDFix

2. Uruchom ponownie komputer i wejdź do Trybu Awaryjnego (Przed bootowaniem Windowsa naciśnij F8).

3. Wejdź do folderu który utworzył SDFix i kliknij dwa razy na plik RunThis.bat

4. Naciśnij Y by narzędzie rozpoczęło proces usuwania szkodników.

5. Po zakończeniu usuwania program poprosi o wciśnięcie dowolnego klawisza na klawiaturze (Any Key). Po naciśnięciu komputer zostanie uruchomiony ponownie.

6. Po restarcie aplikacja uruchomi się ponownie. Kiedy w okienku pojawi się Finished , naciśnij dowolny klawisz, aby program zakończył pracę.

7. Na koniec pokaż log z programu znajdujący się w lokalizacji – C:\SDFix\Report.txt

Po pracy pokaż nowe logi z: HiJack This + ComboFix.

Zrobiłem wszystko od pkt do pkt. Pozdrawiam. Wesołych Świąt i ogromne dzięki za pomoc.

Wrzucam logi.

Dobry avatar. Family guy kicks ass!

Pozdro VT

[quote]ComboFix 07-12-21.4 - Fil P 2007-12-26 3:05:38.2 - NTFSx86

Vojtoos , używaj znaczników code!

Wklej do Notatnika:

File::

C:\WINDOWS\system32\Verify.exe

C:\WINDOWS\system32\LYLOADMR.EXE

C:\WINDOWS\system32\dllcache\svchost.exe

C:\WINDOWS\853957WL.DLL

C:\WINDOWS\853957MM.DLL

C:\WINDOWS\system32\384E7294.DLL

C:\WINDOWS\WINSvr32.exE

C:\WINDOWS\bytjvm.exe

C:\WINDOWS\umfdxj.exe

C:\WINDOWS\NAVMon32.exE

C:\WINDOWS\system32\DRIVERS\c1lr.sys


Folder::

C:\Program Files\yok


Driver::

c1lr

29jwej38

C49C13D6

DD919517


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{75FE2B5A-D3A4-4EFA-AC11-ADC9C9459688}]

[-HKEY_CLASSES_ROOT\clsid\{f869bb38-ffef-4589-b986-610b7ad0ada2}]

[-HKEY_CLASSES_ROOT\YokToolbar.Band.1]

[-HKEY_CLASSES_ROOT\YokToolbar.Band]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"yok.exe"=-

"WinSysW"=-

"NAVMon32"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo

ok, system wydaje sie dosyc stabilny. Zdaza sie nadal problem z explorerem.

Przy okazji, uzywalem symantec’a. Pozniej ktos mi powiedzial zeby sobie dac spokoj z antivirem no i w koncu stalo sie to co spowodowalo ze pytam o wasza pomoc.

Czy na prawde przydatny w stosunku do spozycia mocy jest anty wirus czy lepiej po prostu czasami sie troche podenerwowac i samemu zwalczac.

Jesli odpowiedz jest anty wir… jaki?

ok nie zanudzam.

Niech moc bedzie z wami.

log z combo

pozdro 600

ComboFix 07-12-21.4 - Fil P 2007-12-26 13:55:17.4 - NTFSx86

C:\WINDOWS\system32\c00afce627.dll

Wklej do Notatnika:

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo

ComboFix 07-12-21.4 - Fil P 2007-12-27 1:35:18.5 - NTFSx86

C:\WINDOWS\system32\usbplay.exe

przeskanuj plik na http://virusscan.jotti.org/Wklej do Notatnika:

File::

C:\WINDOWS\system32\c00afce627.dll

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

C:\WINDOWS\system32\usbplay.exe

zainfekowany

co teraz?

Do usunięcia i nowy log z Combo

Nadal masz problemy z datą? Być może wyczerpała ci się bateryjka na płycie głównej (wtedy data resetuje się przy każdym odłączeniu komputera od prądu). Jeśli nic innego nie pomaga, spróbuj wymienić.

ComboFix 08-01-03.3 - Fil P 2008-01-03 18:27:41.8 - NTFSx86

Wklej do Notatnika:

Driver::

Serviceusbhelp


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

b]>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

I powinno być Ok