Zgodnie z prosba wklejam kolejny:

Logfile of HijackThis v1.99.1

Scan saved at 16:29:15, on 2005-03-14

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\MWW32\MANAGER\MWMDMSVC.EXE

C:\WINDOWS\MWW32\MANAGER\MWSSW32.EXE

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\system32\regsvc.exe

C:\WINDOWS\System32\ZoneLabs\vsmon.exe

C:\WINDOWS\System32\WBEM\WinMgmt.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\internat.exe

C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe

C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe

C:\Documents and Settings\Jacek\Pulpit\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = £¹cza

O4 - HKLM…\Run: [Zasobnik systemowy] SysTray.Exe

O4 - HKLM…\Run: [internat.exe] internat.exe

O4 - HKLM…\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM…\Run: [AWMON] “C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe”

O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm

O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll

O17 - HKLM\System\CCS\Services\Tcpip…{1B86EC17-307D-4CA1-B5E3-B206F89069F7}: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.184.84,195.225.176.37

O23 - Service: AntiVir Service (AntiVirService) - A4Tech Co.,Ltd. - (no file)

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: Us³uga administracyjna Mened¿era dysków logicznych (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: ThinkPad Modem Service (ThinkPadModemService) - IBM Corporation - C:\WINDOWS\MWW32\MANAGER\MWMDMSVC.EXE

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\System32\ZoneLabs\vsmon.exe

Z siecia lacze sie przez LAN i nie uzywam proxy. A ze sfiksowaniem, to wszystko jest mozliwe;)

Witam,

To dobrze, ale gdzie on jest? Powinno być tak w procesach:

A coś takiego w autostarcie:

Masz za to proces od innego antyvira:

Dodatkowo w usługach:

Co jest nie tak?

Włączyłaś rezydowanie Kasperskiego w opcjach?

Nie miała a … Pani, agawa miała problemy.

Chyba kuracje odchamiajaca zaliczyc musisz.

agawo - moze jeszcze cos z DHCP, DNS-ami nie tak ??

Jak masz ustawione we wlaciwosciach TCP/IP, automat przydziela czy ustawienia sa wpisywane recznie ??

Uzyj jeszcze LSP-FIX’a i jeszcze raz winsockfix’a

Comend@nte, az takiej wagi do formy Pani nie przywiazuje, wszak na forach na ogol wszyscy sa na “ty”

Mam zaznaczona opcje we wlasciwosciach IE (polaczenia), ze ma mi wykrywac polaczenie LAN automatycznie, nigdy nic nie wpisywalam i bylo ok.

Niestety, nie bardzo umiem sobie poradzic z tym drugim programem (angielski nie jest moim jezykiem :oops: ), mam tam w okienku po lewej jakies pliki dll a po prawej pusto… :oops:

Antywir to moj poprzedni program, nie udalo mi sie go usunac do konca, bo wola, ze jest zabezpieczony haslem, na razie przenioslam go gdzie indziej. A Kasperskiego wlaczam sama juz po zaladowaniu sie calego systemu.

No to wlaczylam IspFix, nacisnelam “finish” i praktycznie w tej samej sekundzie pojawil mi sie komunikat, ze nie ma nic do zrobienia. Potem jeszcze raz Winsock i tez nic (wszystko robilam przy odlaczonym necie).

Moze naprawde powinnam sie gdzies indziej przeniesc, zeby nie zasmiecac topiku, tylko gdzie???

Bo tak ma być

Bo nie dałaś mu nic do roboty

To działa w ten sposób, że w okienku po lewej podświetlasz szkodliwy plik, za pomocą strzałki >> przenosisz go do okienka po prawej i wtedy dajesz “Finish”.

Podaj tutaj, jakie pliki *.dll tam masz, to ci pokażemy, które masz usunąć.

Jak juz jestem w tym programie i podswietlam to, co po lewej, to i tak nie mam aktywnych strzalek (czy tez cos znow nie tak zrozumialam? jesli tak, to sorry za moja ignorancje )

A teraz pliki dll:

rnr20.dll Tcpip

winrnr.dll NTDS

nwprovau.dll NWLink (PX/SPX/NetBios

msafd.dll (Protocol handler)

rsvpsp.dll (Protocol handler)

Musisz kliknac w “i’m know…” i dopiero teraz przeniesc do prawego okna

Comend@nte , dzieki za szybka reakcje:)

To skorzystam i jeszcze zapytam, czy przenosze je po jednym i “Finish”, czy tez wszystkie razem?

Balam sie cos skopac, bo w tym drugim oknie jest wyraznie napisane “remove”…

W żadnym wypadku nie usuwaj wszystkich

Napewno muszą zostać te:

Co do reszty nie jestem pewien, więc poczekaj z tym na kogoś bardziej “oblatanego”.

No to kolejny:(

Logfile of HijackThis v1.99.1

Scan saved at 21:46:15, on 2005-03-16

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\MWW32\MANAGER\MWMDMSVC.EXE

C:\WINDOWS\MWW32\MANAGER\MWSSW32.EXE

C:\WINDOWS\system32\regsvc.exe

C:\WINDOWS\System32\ZoneLabs\vsmon.exe

C:\WINDOWS\System32\WBEM\WinMgmt.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\internat.exe

C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe

C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Documents and Settings\Jacek\Pulpit\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.pl

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = £¹cza

O4 - HKLM…\Run: [Zasobnik systemowy] SysTray.Exe

O4 - HKLM…\Run: [internat.exe] internat.exe

O4 - HKLM…\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM…\Run: [AWMON] “C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe”

O4 - HKLM…\RunOnce: [GrpConv] grpconv -o

O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm

O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll

O17 - HKLM\System\CCS\Services\Tcpip…{1B86EC17-307D-4CA1-B5E3-B206F89069F7}: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CS2\Services\VxD\MSTCP: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.184.84,195.225.176.37

O23 - Service: AntiVir Service (AntiVirService) - A4Tech Co.,Ltd. - (no file)

O23 - Service: Us³uga administracyjna Mened¿era dysków logicznych (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: ThinkPad Modem Service (ThinkPadModemService) - IBM Corporation - C:\WINDOWS\MWW32\MANAGER\MWMDMSVC.EXE

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\System32\ZoneLabs\vsmon.exe

wyglada na to, ze mi sie cosik uaktywnilo:( (od czasu do czasu wlaczam gg, zeby przesylac pliki do wklejania na drugiego kompa.

Sprawdzilam rowniez “ping” mojego IP - jest ok, serwerow DNS - jest oki, natomiast kazdy adres zewnetrzny to “nieznany host”.

I mam jeszcze pytanie - czy wystarczy, ze tryb awaryjny wybiore sobie z listy po F8 (to Win2000)? Bo nie bardzo rozumiem “wylacz przywracanie systemu”…czy to ma byc tryb DOS-a?

Witam,

Tak.

W 2000 nie ma przywracania systemu.

Wciąż go nie widzę w procesach…

Z loga możesz wywalić to:

Co do loga z LSPFix, to wydaje mi się, że wszystkie tam pokazane biblioteki są OK.

Czyli stoimy w martwym punkcie.

Powoli skłaniałbym się ku opini,

że albo syf jest bardzo ukryty, albo jednak coś tkwi w ustawieniach np. firewalla.

Męczymy się już z tym tak długo i zero postępu,

dlatego też moim zdaniem powinnaś udać się do specjalisty.

Czyli TUTAJ.

Przedstaw historię choroby i bądź cierpliwa. Powodzenia.

Dzieki maniooo

A te wpisy moga byc ok? bo wczesniej ich nie bylo:

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = £¹cza

O4 - HKLM…\RunOnce: [GrpConv] grpconv -o

No i udam sie z pewnoscia tam, gdzie mnie wysylasz 8)

Myślę, że te wpisy możesz usunąć… :?

proces systemowy windowsa -zostaw

maniooo , dzieki za pokierowanie mnie w tamte strony:)

Problem rozwiazany, net chodzi:))

Okazalo sie, ze byl to Trojan Flush B, zmieniajacy adresy DNS :evil: .

Wszystkim, ktorzy mi pomogli, serdecznie dziekuje

Witam,

wiem, śledziłem na bierząco.

Dla zainteresowanych: http://www.searchengines.pl/phpbb203/in … opic=31340

Comend@nte , chyba za szybko pochyliłem przed Tobą czoła. :twisted:

Jednak DNS-y były złe.

Cztery dni temu byliśmy bliscy rozwiązania.