Skupisko wirusów trojanów i skan logów

killer1pl · 27 Maj 2005 08:52

No więc mój pierwszy post na tym forum. Niestety przejrzałem już kilka(naście) topiców z instrukcją programu HijackThis który tak polecacie. Ściągnąłem go i przeskanowałem. Jednak nie mam najmiejszego pojęcia o kasowaniu logów. Przedtem moim programem skanujących rejestr był Ad-Aware który jest wadliwy ponieważ wiem ile aplikacji mam na kompie każdego dnia coraz więcej. Więc kieruję się z prośbą do Was o pomoc i napisaniu co powinienem zabić.

Logfile of HijackThis v1.99.1

Scan saved at 10:48:54, on 2005-05-27

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Unable to get Internet Explorer version!


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

C:\Program Files\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe

C:\WINDOWS\System32\dlx23.exe

C:\WINDOWS\System32\kvkarv.exe

C:\windows\system32\xdhmhkm.exe

C:\WINDOWS\System32\rundll32.exe

C:\Program Filesrr\Gadu-Gadu\gg.exe

C:\WINDOWS\System32\m?dtc.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Dawid\Pulpit\hijackthis\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Dawid\USTAWI~1\Temp\se.dll/spage.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Dawid\USTAWI~1\Temp\se.dll/spage.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O2 - BHO: CExtension Object - {0019C3E2-DD48-4A6D-ABCD-8D32436323D9} - C:\WINDOWS\cfgmgr52.dll

O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll

O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll

O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe

O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe

O4 - HKLM\..\Run: [salm] c:\temp\salm.exe

O4 - HKLM\..\Run: [jcjibeh] C:\WINDOWS\jcjibeh.exe

O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe

O4 - HKLM\..\Run: [DLX] C:\WINDOWS\System32\dlx23.exe

O4 - HKLM\..\Run: [winupdtl] C:\WINDOWS\System32\winupdt.exe

O4 - HKLM\..\Run: [AUNPS2] RUNDLL32 AUNPS2.DLL,_Run@16

O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitevxy32.exe

O4 - HKLM\..\Run: [HELPER] C:\WINDOWS\System32\poland.exe -N

O4 - HKLM\..\Run: [KavSvc] C:\WINDOWS\System32\kvkarv.exe reg_run

O4 - HKLM\..\Run: [SAHBundle] C:\DOCUME~1\Dawid\USTAWI~1\Temp\bundle.exe

O4 - HKLM\..\Run: [cfgmgr52] RunDLL32.EXE C:\WINDOWS\cfgmgr52.dll,DllRun

O4 - HKLM\..\Run: [toobadl] c:\windows\system32\xdhmhkm.exe

O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\fgwegwe\USTAWI~1\Temp\se.dll,DllInstall

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Filesrr\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray

O4 - HKCU\..\Run: [bawindo] C:\WINDOWS\System32\bawindo.exe

O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - HKCU\..\Run: [DLX] C:\WINDOWS\System32\dlx23.exe

O4 - HKCU\..\Run: [Oami] C:\Documents and Settings\Dawid\Dane aplikacji\tama.exe

O4 - HKCU\..\Run: [Dbtna] C:\WINDOWS\System32\m?dtc.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxxx.mht!http://tdt.org.pl/popup/tdt.chm::/bridge-c18.cab

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} - 

O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - ms-its:mhtml:file://c:\nosuxxx.mht!http://tdt.org.pl/popup/mt.chm::/MediaTicketsInstaller.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O18 - Filter: text/html - {55F070B5-D817-4C9C-BF3E-95CB04DD7B5E} - C:\WINDOWS\System32\olea.dll

O18 - Filter: text/plain - {55F070B5-D817-4C9C-BF3E-95CB04DD7B5E} - C:\WINDOWS\System32\olea.dll

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)

Z góry dzięki

musg · 27 Maj 2005 08:58

na poczatek przeskanuj tym i daj log:

http://www.dobreprogramy.pl/index.php?dz=2&id=657&t=82

http://www.dobreprogramy.pl/index.php?dz=2&id=813&t=82

http://www.dobreprogramy.pl/index.php?dz=2&id=188&t=82

http://www.bitdefender.com/scan/licence.php

a gdzie masz sp2 dla windy?

kuz5 · 27 Maj 2005 09:22

Wyczyść katalog TEMP

Start=>Uruchom=>%temp%=>I usuń wszystko co sie tam znajduje

Usuń: (wszystko oczywiście robisz w trybie awaryjnym z wyłączonym przywracaniem systemu)

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Dawid\USTAWI~1\Temp\se.dll/spage.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Dawid\USTAWI~1\Temp\se.dll/spage.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O2 - BHO: CExtension Object - {0019C3E2-DD48-4A6D-ABCD-8D32436323D9} - C:\WINDOWS\cfgmgr52.dll O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll O4 - HKLM…\Run: [salm] c:\temp\salm.exe O4 - HKLM…\Run: [jcjibeh] C:\WINDOWS\jcjibeh.exe O4 - HKLM…\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe O4 - HKLM…\Run: [DLX] C:\WINDOWS\System32\dlx23.exe O4 - HKLM…\Run: [winupdtl] C:\WINDOWS\System32\winupdt.exe O4 - HKLM…\Run: [AUNPS2] RUNDLL32 AUNPS2.DLL,_Run@16 O4 - HKLM…\Run: [checkrun] C:\windows\system32\elitevxy32.exe O4 - HKLM…\Run: [HELPER] C:\WINDOWS\System32\poland.exe-N O4 - HKLM…\Run: [KavSvc] C:\WINDOWS\System32\kvkarv.exe reg_run O4 - HKLM…\Run: [sAHBundle] C:\DOCUME~1\Dawid\USTAWI~1\Temp\bundle.exe O4 - HKLM…\Run: [cfgmgr52] RunDLL32.EXE C:\WINDOWS\cfgmgr52.dll,DllRun O4 - HKLM…\Run: [toobadl] c:\windows\system32\xdhmhkm.exe O4 - HKLM…\Run: [sp] rundll32 C:\DOCUME~1\fgwegwe\USTAWI~1\Temp\se.dll,DllInstall O4 - HKCU…\Run: [bawindo] C:\WINDOWS\System32\bawindo.exe O4 - HKCU…\Run: [DLX] C:\WINDOWS\System32\dlx23.exe O4 - HKCU…\Run: [Oami] C:\Documents and Settings\Dawid\Dane aplikacji\tama.exe O4 - HKCU…\Run: [Dbtna] C:\WINDOWS\System32\m?dtc.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM) O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxxx.mht!http://tdt.org.pl/popup/tdt.chm::/bridge-c18.cab O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} - O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - ms-its:mhtml:file://c:\nosuxxx.mht!http://tdt.org.pl/popup/mt.chm::/MediaTicketsInstaller.cab O18 - Filter: text/html - {55F070B5-D817-4C9C-BF3E-95CB04DD7B5E} - C:\WINDOWS\System32\olea.dll O18 - Filter: text/plain - {55F070B5-D817-4C9C-BF3E-95CB04DD7B5E} - C:\WINDOWS\System32\olea.dll

Otwierasz HijackThis => Misc Tools => Delete NT Service => wklepujesz PowerManager => i zawierdzasz

To samo robisz z:

tylko zamiast PowerManager wklepujesz SvcProc

Pliki na czerwono usun ręcznie z dysku

Jeżeli wpis 015 będzie stawiać opór to usuń go narzędziem KillTrusted 0.7

Jak już wykonasz w/w czynności to wklej nowego loga

killer1pl · 27 Maj 2005 09:27

Przeciez dalem logi z HijackThis …musze to wszystko sciagac? No ale kij

CWShreader znalazł CWS: HIdden DDL

Soe Sweeper nic nie zeskanował bo nie umiem go oblsugiwac

3 program ściąga się już pół gdziny i jest 4%

4 progs:

To na tyle…ale pomozesz mi powiedziec po jaki kij to ściagam? bezsensu …przeciez ten Hijack This wszystko ptzeskanowal

kuz5 · 27 Maj 2005 09:29

Napisałem co masz usunąć i jak także zabieraj się do roboty

Jeżeli bedzie problem ze znalezieniem pliku z pytajnikiem czyli ten:

To w C:\WINDOWS\ System32 prawoklik i posortuj według nazw

wtedy ten m?dtc.exe będzie na samym spodzie

boczi · 27 Maj 2005 09:30

Ale najlepiej, jak wpierw automaty usuną, co znajdą. HJT jest tylko (lub aż) narzęziam diagnostycznym.

Rób więc wszystko wg porady kuz5. Jeśli chcesz jeszcze ściągać te programy anty, to tu masz działające linki:

http://forum.dobreprogramy.pl/viewtopic … 347#187347

Skaner działa tylko na IE.

killer1pl · 27 Maj 2005 09:40

No i kurde sie pogubilem w tym programie…Mam 2 pytania.

Jak wyłaczyc przywracanie systemu

Jak usunąc procesy które wypisał Kuz5 te nie zaznaczone kolorami czerwonymi. Jak otwieram “open proces manager” to ich nie ma

//2 problem rozwiazalem …ale ja glupi

boczi · 27 Maj 2005 09:43

Procesy zaznaczone na czerwono usuwasz ręcznie przez Delete lub Shift+Delete lub ostatecznie, programem KillBox.

kuz5 · 27 Maj 2005 09:47

Prawoklik na Mój Komputer=>Właćciwości=>Zakładka Przywracanie systemu=>I Wyłącz przywracanie systemu…

Pliki na czerwono szukasz na dysku i usuwasz recznie a wpisy kasujesz HijackThisem czyli odpalasz go klikasz Do a system scan only następnie zaznaczasz wpisy i klikasz fix checked

killer1pl · 27 Maj 2005 10:16

DObra dzieki ze mi tak pomagacie…bez was rady bym nie dał. Tylko problemy są nadal …wszystko co miałem usunąć fix checked usunełem i nie miałem problemu. Dopiero później się zaczęły.

O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)

Jeśłi robie wg twojej wskazówki Kaz5 to wyskakuje taki błąd: The service is enabled and/or running. Disable it first using HT itself or the services use window. A teraz coś dla amatorów czarnej magi, plików kvkanv.exe elitevx32.exe poland.exe jejibeh.exe MediaAcces [folder] efgmgr52.dll EliteTodBar [folder] salm.exe bundle.exe bawindo.exe tama.exe xdhumbkn.exe Nie ma! :o Ani po tych plikach śladu. Ani nie są niewidoczne ani nic…wogóle ich znaleźć nie mogłem i nadal nie mogę …nie wiem co się dzieje. Jeszcze jest plik AUNPS2.dll którego nie wiem gdzie znaleść. Kolejne to plik Tak tak ja wiem ze nic nie kumam z tego kompa - nie musicie mi mówić. Jestem bardziej webmasterem niż zajmuje się samym odkarzaniem komputera. A te wszystkie syfy wszedły mi jak nie byłem przez miecha na kompie ~~ Aa i jeszcze logi:

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

C:\Program Files\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe

C:\WINDOWS\System32\kvkarv.exe

C:\windows\system32\xdhmhkm.exe

C:\Program Filesrr\Gadu-Gadu\gg.exe

C:\WINDOWS\System32\m?dtc.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\Program Files\Windows Media Player\wmplayer.exe

C:\Documents and Settings\Dawid\Pulpit\hijackthis\HijackThis.exe

C:\WINDOWS\system32\NOTEPAD.EXE


F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O2 - BHO: CExtension Object - {0019C3E2-DD48-4A6D-ABCD-8D32436323D9} - C:\WINDOWS\cfgmgr52.dll

O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe

O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe

O4 - HKLM\..\Run: [salm] c:\temp\salm.exe

O4 - HKLM\..\Run: [jcjibeh] C:\WINDOWS\jcjibeh.exe

O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe

O4 - HKLM\..\Run: [DLX] C:\WINDOWS\System32\dlx23.exe

O4 - HKLM\..\Run: [winupdtl] C:\WINDOWS\System32\winupdt.exe

O4 - HKLM\..\Run: [AUNPS2] RUNDLL32 AUNPS2.DLL,_Run@16

O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitevxy32.exe

O4 - HKLM\..\Run: [HELPER] C:\WINDOWS\System32\poland.exe -N

O4 - HKLM\..\Run: [KavSvc] C:\WINDOWS\System32\kvkarv.exe reg_run

O4 - HKLM\..\Run: [SAHBundle] C:\DOCUME~1\Dawid\USTAWI~1\Temp\bundle.exe

O4 - HKLM\..\Run: [toobadl] c:\windows\system32\xdhmhkm.exe

O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O4 - HKLM\..\Run: [cfgmgr52] RunDLL32.EXE C:\WINDOWS\cfgmgr52.dll,DllRun

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Filesrr\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray

O4 - HKCU\..\Run: [bawindo] C:\WINDOWS\System32\bawindo.exe

O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - HKCU\..\Run: [Oami] C:\Documents and Settings\Dawid\Dane aplikacji\tama.exe

O4 - HKCU\..\Run: [Dbtna] C:\WINDOWS\System32\m?dtc.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O18 - Filter: text/plain - {55F070B5-D817-4C9C-BF3E-95CB04DD7B5E} - C:\WINDOWS\System32\olea.dll

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)

musg · 27 Maj 2005 11:16

a to czary:

moj komp>narzedzia>opcje folderow>>>widok>>>i masz miec tak zaznaczone:

http://img270.echo.cx/my.php?image=asasa1jf.png

dodatkowo pobierasz program:

http://www.simplytech.it/ETRemover/ETRemoverV120.zip

i uzywasz

killer1pl · 27 Maj 2005 15:14

musg…wiesz ja wiem ze mysliscie ze ja glupi jestem ale ja to robiłem i i tak tych plików nie można znaleść …A i twój program:

Componet ‘Msinet.ocx’ or one of its dependencies not correctly registred: a file is missing or invalid.

kuz5 · 27 Maj 2005 15:42

Ojj coś kręcisz te pliki muszą być na dysku

Zapewne jest w:

C:\WINDOWS\ System32

W Dodaj/Usuń odinstaluj MediaAcces a następnie usuń ten folder

C:\Program Files\ Media Access

To też zobacz czy czasem nie ma w Dodaj/Usuń jak jest to odinstaluj a następnie wywl ten folder

C:\WINDOWS\ EliteToolBar

Te pliki usuń programem Pocket Killbox czyli odpalasz Killboxa zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżke:

C:\WINDOWS** Nail.exe**

następnie program będzie pytał o restart (oczywiście zgadzasz sie)

I to samo robisz ze ścieżkami:

C:\WINDOWS** cfgmgr52.dll**

C:\temp** salm.exe**

C:\WINDOWS** jcjibeh.exe**

C:\WINDOWS\System32** dlx23.exe**

C:\WINDOWS\System32** winupdt.exe**

C:\WINDOWS\System32** AUNPS2.DLL**

C:\windows\system32** elitevxy32.exe**

C:\WINDOWS\System32** poland.exe C:\WINDOWS\System32* kvkarv.exe*

C:\DOCUME~1\Dawid\USTAWI~1\Temp** bundle.exe**

C:\windows\system32** xdhmhkm.exe**

C:\WINDOWS\System32** bawindo.exe**

C:\Documents and Settings\Dawid\Dane aplikacji** tama.exe**

C:\WINDOWS\System32** olea.dll**

musg · 27 Maj 2005 15:49

nie myslimy tak tylko ci pomagamy

sciagasz stad i działasz:

http://download.chip.pl/download_133037.html

killer1pl · 27 Maj 2005 19:54

kuz5 dzieki ci za pomoc …spoko jednak nie fantazjuje. Z plików które wymieniłeś jest tylko Nail który usuwam i sie odnawia sam ~~… cja go usuwam a on sie pojawia na nowo. Tak samo C:\WINDOWS\cfgmgr52.dll tylko ze tego nie moge usunac bo jakis program używa to.

Nie wiem dlaczego tak jest…może dlatego że zanim tu weszłem skanowałem mksvirem onlinne i ad-aware. Mksvirem skanowałem z tydzien temu bo teraz IE nie mam az strach zainstalować…ciągle coś uruchamiała.

Używam świetnego Firewalla, który blokuje wszystko to co chce wejść do neta. Np zblokował pvplr.exe który też jest podejrzanym plikiem, jakis agentsvr i tojxqola.

Musg:

nie myslimy tak tylko ci pomagamy

Sam nie raz tak myślę …więc się nie obrażam jak ktoś tak o mnie mówi …ściągam ten twój progs. Pobawie się z nim i zdam raport. ==edit== ten twój progs niezły nawet dzieki :d ==edit==

Registry Log file generated by ***EliteToolbar Remover V.1.3.0***

27-05-2005 - 21:59:38


System info: 


OS Platform: Microsoft Windows 2000

OS Version: 5.01.2600

OS Update: 

CPU Maker: AuthenticAMD

CPU Model: x86 Family 6 Model 8 Stepping 1

CPU Speed: 1666 MHz



Running processes: 


[system process] [SYSTEM]

system [SYSTEM]

smss.exe [\SystemRoot\System32\smss.exe]

csrss.exe [SYSTEM]

winlogon.exe [\??\C:\WINDOWS\system32\winlogon.exe]

services.exe [C]

lsass.exe [C]

svchost.exe [C]

svchost.exe [C]

stylexpservice.exe [C]

svchost.exe [SYSTEM]

svchost.exe [SYSTEM]

spoolsv.exe [C]

nhksrv.exe [C]

kpf4ss.exe [C]

nvsvc32.exe [C]

pavfires.exe [C]

pavsrv51.exe [C]

svchost.exe [C]

avengine.exe [C]

kpf4gui.exe [C]

kpf4gui.exe [C]

apvxdwin.exe [C]

explorer.exe [C]

jusched.exe [C]

gg.exe [C]

m?dtc.exe [C]

firefox.exe [C]

wmplayer.exe [C]

wuauclt.exe [C]

kvkarv.exe [C]

etremover_v130.exe [C]



------------------------------------------

HKLM -> UserInit in NT:



DWORD: AutoRestartShell = 1


DefaultDomainName = ZADNA-QFYMWFWOG


DefaultUserName = Dawid


LegalNoticeCaption =  


LegalNoticeText =  


PowerdownAfterShutdown = 0


ReportBootOk = 1


Shell = Explorer.exe C:\WINDOWS\Nail.exe


ShutdownWithoutLogon = 0


System =  


Userinit = C:\WINDOWS\system32\userinit.exe,


VmApplet = rundll32 shell32,Control_RunDLL "sysdm.cpl"


DWORD: SfcQuota = -1


allocatecdroms = 0


allocatedasd = 0


allocatefloppies = 0


cachedlogonscount = 10


DWORD: forceunlocklogon = 0


DWORD: passwordexpirywarning = 14


scremoveoption = 0


DWORD: AllowMultipleTSSessions = 1


DWORD: LogonType = 1


Background = 0 0 0


DebugServerCommand = no


DWORD: SFCDisable = 0


WinStationsDisabled = 0


DWORD: HibernationPreviouslyEnabled = 1


DWORD: ShowLogonOptions = 0


AltDefaultUserName = Dawid


AltDefaultDomainName = ZADNA-QFYMWFWOG




------------------------------------------

HKCU -> UserInit in NT:



ParseAutoexec = 1


ExcludeProfileDirs = Ustawienia lokalne;Temporary Internet Files;Historia;Temp


DWORD: BuildNumber = 2600




------------------------------------------

HKLM -> UserInit:


* Registry key not found *


------------------------------------------

HKCU -> UserInit in NT:


* Registry key not found *


------------------------------------------

Running processes in NT / HKLM -> RUN (Autorun entries from Registry):


* Registry key not found *


------------------------------------------

Running processes in HKLM -> RUN (Autorun entries from Registry):



Cmaudio = RunDll32 cmicnfg.cpl,CMICtrlWnd


SunJavaUpdateSched = C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe


SCANINICIO = "C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe"


APVXDWIN = "C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s


NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup


nwiz = nwiz.exe /install


NvMediaCenter = RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit


MULTIMEDIA KEYBOARD = C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe


salm = c:\temp\salm.exe


jcjibeh = C:\WINDOWS\jcjibeh.exe


Media Access = C:\Program Files\Media Access\MediaAccK.exe


DLX = C:\WINDOWS\System32\dlx23.exe


HELPER = C:\WINDOWS\System32\poland.exe -N


SAHBundle = C:\DOCUME~1\Dawid\USTAWI~1\Temp\bundle.exe


cfgmgr52 = RunDLL32.EXE C:\WINDOWS\cfgmgr52.dll,DllRun


rpgugk = c:\windows\system32\iykhthl.exe




------------------------------------------

Running processes in HKLM -> RUNONCE (Autorun entries from Registry):


* No values found *


------------------------------------------

Running processes in HKLM -> RUNONCEEX (Autorun entries from Registry):


* No values found *


------------------------------------------

Running processes in HKLM -> RUNSERVICES (Autorun entries from Registry):


* Registry key not found *


------------------------------------------

Running processes in HKLM -> RUNSERVICESONCE (Autorun entries from Registry):


* Registry key not found *


------------------------------------------

Running processes in NT / HKCU -> RUN (Autorun entries from Registry):


* Registry key not found *


------------------------------------------

Running processes in HKCU -> RUN (Autorun entries from Registry):



MSMSGS = "C:\Program Files\Messenger\msmsgs.exe" /background


Gadu-Gadu = "C:\Program Filesrr\Gadu-Gadu\gg.exe" /tray


Shareaza = "C:\Program Files\Shareaza\Shareaza.exe" -tray


bawindo = C:\WINDOWS\System32\bawindo.exe


STYLEXP = C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide


Oami = C:\Documents and Settings\Dawid\Dane aplikacji\tama.exe


Dbtna = C:\WINDOWS\System32\m?dtc.exe




------------------------------------------

Running processes in HKCU -> RUNONCE (Autorun entries from Registry):


* No values found *


------------------------------------------

Running processes in HKCU -> RUNONCEEX (Autorun entries from Registry):


* Registry key not found *


------------------------------------------

Running processes in HKCU -> RUNSERVICES (Autorun entries from Registry):


* Registry key not found *


------------------------------------------

Running processes in HKCU -> RUNSERVICESONCE (Autorun entries from Registry):


* Registry key not found *


------------------------------------------

Running processes in HKLM -> Browser Helper Objects:


------------------------------------------

Programs in HKLM -> Common Startup:


Adobe Gamma Loader.lnk


------------------------------------------

Logi z Elite ToolBar Remove…to coś otworzyło mi rejestr ale co robiło to do końca nie wiem 8)

musg · 27 Maj 2005 20:02

przeskanuj system wlasnie tym progsem,on musi usunac Elite Toolbar,

i tak bedzie.Po wykonaniu operacji usuwania dajesz kolejny log.Masz system bardzo zainfekowany ale do wyczyszczenia.Juz jestes bardzo blisko.

pamietaj o podaniu kolejnego loga.

ps.

nail

killer1pl · 27 Maj 2005 21:08

No zrobiłem jak napisałeś…i logi są w poprzednim poście kolego

Pozatym:

ryb awaryjny.


Otwierasz HijackThis >>> ptaszkujesz podane wpisy


Otwierasz sekcję Misc Tools w HijackThis >>> Delete NT Service >>> wklep SvcProc >>> zatwierdź kasację.

Jak tak robie to wyskakuje informacja:

The service SvcProc i enabled and/or running. Disable it first, using HijackThis itself on the Services.msc

kuz5 · 27 Maj 2005 23:35

Start => Uruchom => wpisz services.msc => zatrzymaj proces SvcProc a nastepnie usuń tak jak wcześniej próbowałeś: