dobreprogramy - forum

Strony porno, połączenia z nieznanymi użytkownikami

Dla specjalistów Bezpieczeństwo

Schleppel (Schleppel) 22 Październik 2006 19:48 #1

Burdel. To najtrafniejsze określenie, określające aktualny stan systemu na moim komputerze. Sam nie wiem w zasadzie skąd się wziął -chyba zawsze był w pewnym stopniu obecny w rejestrze mojego wspaniałego Windowsa 98; teraz jednak urósł do monstrualnych rozmiarów. Ale do rzeczy:

Ostatnimi czasy zauważyłem pewne niepokojące procesy, zachodzące na moim komputerze (włączające się czasami strony o tematyce pornograficznej, powiadomienia przy zamykaniu systemu o “połączonych użytkownikach, którzy po wyłączeniu komputera stracą ze mną łączność”, spowolnione działanie). Natychmiast włączyłem więc program hijack this i zacząłem szukać źródła problemu. Od razu zauważyłem dwa podejrzane procesy, które bezzwłocznie wywaliłem. Nie wpłynęło to jednak w żaden sposób na działanie systemu. Strony pornograficzne włączają się nadal, komunikaty o połączeniach ciągle otrzymuje. Po kilku dniach bezowocnej walki postanowiłem się zwrócić z problemem na pewne forum. Stamtąd zaś odesłano mnie do was :D.

W związku z powyższym proszę was o sprawdzenie dwóch logów, wykrycie źródła moich problemów i ewentualną listę działań potrzebną, aby je usunąć. Za ewentualną pomoc z góry dziękuje.

Log hijack this:

Logfile of HijackThis v1.99.1 Scan saved at 13:43:48, on 06-10-20 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v5.50 (5.50.4134.0600) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\NVSVC.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\CTHELPER.EXE C:\PROGRAM FILES\WINAMP\WINAMPA.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAM FILES\CREATIVE\SHAREDLL\CTNOTIFY.EXE C:\WINDOWS\RUNDLL32.EXE C:\PROGRAM FILES\CREATIVE\SBLIVE\REMOTECENTER\RC\RCMAN.EXE C:\PROGRAM FILES\CREATIVE\SHAREDLL\MEDIADET.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAM FILES\GADU-GADU\GG.EXE C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE C:\HJT\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0 CE\READER\ACTIVEX\ACROIEHELPER.DLL O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Program Files\GetRight\xx2gr.dll O4 - HKLM…\Run: [internat.exe] internat.exe O4 - HKLM…\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM…\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM…\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM…\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM…\Run: [Jet Detection] C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM…\Run: [CTStartup] C:\PROGRAM FILES\CREATIVE\SPLASH SCREEN\CTEaxSpl.EXE /run O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [Zasobnik systemowy] SysTray.Exe O4 - HKLM…\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM…\RunServices: [schedulingAgent] mstask.exe O4 - HKLM…\RunServices: [NVSvc] C:\WINDOWS\SYSTEM\nvsvc.exe -runservice O4 - HKLM…\RunServices: [WRLite] “C:\Program Files\WinRoute Lite\wrlite.exe” /hide O4 - HKCU…\Run: [Gadu-Gadu] “C:\PROGRAM FILES\GADU-GADU\GG.EXE” /tray O4 - HKCU…\Run: [RemoteCenter] C:\Program Files\Creative\SBLive\RemoteCenter\Rc\Rcman.exe O4 - HKCU…\Run: [NBJ] “C:\PROGRAM FILES\AHEAD\NERO BACKITUP\NBJ.EXE” O4 - HKCU…\Run: [WRLiteAdm] “C:\Program Files\WinRoute Lite\wrladmin.exe” /hide O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Startup: Skrót do Kwiat.lnk = C:\Moje dokumenty\Kwiat.txt O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra ‘Tools’ menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://creative.com/su/ocx/15015/CTSUEng.cab O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://creative.com/su/ocx/15021/CTPID.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = pa77.kolbudy.sdi.tpnet.pl O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.1.1

Log Silent Runners:

“Silent Runners.vbs”, revision 49, http://www.silentrunners.org/ Operating System: Windows 98 Output limited to non-default values, except where indicated by “{++}” Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} “Gadu-Gadu” = ““C:\PROGRAM FILES\GADU-GADU\GG.EXE” /tray” [“sms-express.com”] “RemoteCenter” = “C:\Program Files\Creative\SBLive\RemoteCenter\Rc\Rcman.exe” [“Creative Technology Ltd.”] “NBJ” = ““C:\PROGRAM FILES\AHEAD\NERO BACKITUP\NBJ.EXE”” [“Ahead Software AG”] “WRLiteAdm” = ““C:\Program Files\WinRoute Lite\wrladmin.exe” /hide” [“Kerio Technologies Inc.”] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} “internat.exe” = “internat.exe” [MS] “ScanRegistry” = “C:\WINDOWS\scanregw.exe /autorun” [MS] “TaskMonitor” = “C:\WINDOWS\taskmon.exe” [MS] “LoadPowerProfile” = “Rundll32.exe powrprof.dll,LoadCurrentPwrScheme” [MS] “WINDVDPatch” = “CTHELPER.EXE” [“Creative Technology Ltd”] “Jet Detection” = “C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe” ["("] “CTStartup” = “C:\PROGRAM FILES\CREATIVE\SPLASH SCREEN\CTEaxSpl.EXE /run” [“Creative Technology Ltd.”] “WinampAgent” = “C:\Program Files\Winamp\winampa.exe” [null data] “Zasobnik systemowy” = “SysTray.Exe” [MS] “Disc Detector” = “C:\Program Files\Creative\ShareDLL\CtNotify.exe” [“Creative Technology Ltd.”] “NvCplDaemon” = “RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup” [MS] “nwiz” = “nwiz.exe /install” [“NVIDIA Corporation”] “NvMediaCenter” = “RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit” [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\CTStartup\ {++} “CTStartup” = ““C:\PROGRAM FILES\CREATIVE\SPLASH SCREEN\CTEaxSpl.EXE” /play” [“Creative Technology Ltd.”] HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ {++} “LoadPowerProfile” = “Rundll32.exe powrprof.dll,LoadCurrentPwrScheme” [MS] “SchedulingAgent” = “mstask.exe” [MS] “NVSvc” = “C:\WINDOWS\SYSTEM\nvsvc.exe -runservice” [“NVIDIA Corporation”] “WRLite” = ““C:\Program Files\WinRoute Lite\wrlite.exe” /hide” ["*" (unwritable string)] HKLM\Software\Microsoft\Active Setup\Installed Components\ {44BBA840-CC51-11CF-AAFA-00AA00B6015C}.Restore(Default) = “Microsoft Outlook Express 6” \StubPath = “rundll32.exe advpack.dll,UserUnInstStubWrapper {44BBA840-CC51-11CF-AAFA-00AA00B6015C}” [MS] {7790769C-0471-11d2-AF11-00C04FA35D02}.Restore(Default) = “Książka adresowa 5” \StubPath = “rundll32.exe advpack.dll,UserUnInstStubWrapper {7790769C-0471-11d2-AF11-00C04FA35D02}” [MS] {89820200-ECBD-11cf-8B85-00AA005B4383}.Restore(Default) = “Internet Explorer 6 i narzędzia internetowe” \StubPath = “rundll32.exe advpack.dll,UserUnInstStubWrapper {89820200-ECBD-11cf-8B85-00AA005B4383}” [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}(Default) = (no title provided) -> {HKLM…CLSID} = “AcroIEHlprObj Class” \InProcServer32(Default) = “C:\PROGRAM FILES\ADOBE\ACROBAT 6.0 CE\READER\ACTIVEX\ACROIEHELPER.DLL” [“Adobe Systems Incorporated”] {31FF080D-12A3-439A-A2EF-4BA95A3148E8}(Default) = (no title provided) -> {HKLM…CLSID} = “bho2gr Class” \InProcServer32(Default) = “C:\Program Files\GetRight\xx2gr.dll” [“Headlight Software, Inc.”] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” = “WinRAR shell extension” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “C:\PROGRAM FILES\WINRAR\rarext.dll” [null data] “{2E9D3540-211C-11d0-A5F2-00A0248C37BE}” = “Nero Shell Extension Property Sheet” -> {HKLM…CLSID} = “Nero Shell Extension Property Sheet” \InProcServer32(Default) = “C:\Program Files\Ahead\nero\neroshx.dll” [“Ahead Software AG”] “{A70C977A-BF00-412C-90B7-034C51DA2439}” = “NvCpl DesktopContext Class” -> {HKLM…CLSID} = “DesktopContext Class” \InProcServer32(Default) = “C:\WINDOWS\SYSTEM\NVCPL.DLL” [“NVIDIA Corporation”] “{1CDB2949-8F65-4355-8456-263E7C208A5D}” = “Desktop Explorer” -> {HKLM…CLSID} = “Desktop Explorer” \InProcServer32(Default) = “C:\WINDOWS\SYSTEM\NVSHELL.DLL” [“NVIDIA Corporation”] “{1E9B04FB-F9E5-4718-997B-B8DA88302A47}” = “Desktop Explorer Menu” -> {HKLM…CLSID} = (no title provided) \InProcServer32(Default) = “C:\WINDOWS\SYSTEM\NVSHELL.DLL” [“NVIDIA Corporation”] “{1E9B04FB-F9E5-4718-997B-B8DA88302A48}” = “nView Desktop Context Menu” -> {HKLM…CLSID} = “nView Desktop Context Menu” \InProcServer32(Default) = “C:\WINDOWS\SYSTEM\NVSHELL.DLL” [“NVIDIA Corporation”] “{32020A01-506E-484D-A2A8-BE3CF17601C3}” = “AlcoholShellEx” -> {HKLM…CLSID} = “AlcoholShellEx” \InProcServer32(Default) = “C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXSHLEX.DLL” [“Alcohol Soft Development Team”] HKLM\Software\Classes*\shellex\ContextMenuHandlers\ WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “C:\PROGRAM FILES\WINRAR\rarext.dll” [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “C:\PROGRAM FILES\WINRAR\rarext.dll” [null data] System Policies {policy setting}: --------------------------------- Note: detected settings may not have any effect. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ “CDRAutoRun” = (REG_BINARY) hex:00 00 00 00 {unrecognized setting} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by System Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ “Wallpaper” = “E:\Moje dokumenty\pies.bmp” Displayed if Active Desktop disabled and wallpaper not set by System Policy: HKCU\Control Panel\Desktop\ “Wallpaper” = “E:\Moje dokumenty\pies.bmp” Startup items in “Startup” & “All Users…Startup” folders: ----------------------------------------------------------- C:\WINDOWS\Menu Start\Programy\Autostart “Microsoft Office” -> shortcut to: “C:\Program Files\Microsoft Office\Office\OSA9.EXE -b -l” [MS] “Skrót do Kwiat” -> shortcut to: “C:\Moje dokumenty\Kwiat.txt” [null data] Enabled Scheduled Tasks: ------------------------ “Rozpoczęcie aplikacji dostrajania” -> launches: “walign” [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = “C:\WINDOWS\SYSTEM\rnr20.dll” [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 00000000000#\PackedCatalogItem (contains) DLL [Company Name], (at) # range: C:\WINDOWS\SYSTEM\mswsosp.dll [MS], 1 C:\WINDOWS\SYSTEM\msafd.dll [MS], 2 - 4 C:\WINDOWS\SYSTEM\rsvpsp.dll [MS], 5 - 6 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ “{06ABAA2D-34AB-4902-A326-409BD9B9A7A5}” -> {HKLM…CLSID} = “FreshBar” \InProcServer32(Default) = “C:\WINDOWS\SYSTEM\IESP1.DLL” [null data] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {FB5F1910-F110-11D2-BB9E-00C04F795683}\ “ButtonText” = “Messenger” “MenuText” = “MSN Messenger Service” “Exec” = “C:\Program Files\Messenger\MSMSGS.EXE” [MS] {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ “MenuText” = “Sun Java Console” “CLSIDExtension” = “{CAFEEFAC-0015-0000-0002-ABCDEFFEDCBC}” -> {HKLM…CLSID} = “Java Plug-in 1.5.0_02” \InProcServer32(Default) = “C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll” [“Sun Microsystems, Inc.”] Miscellaneous IE Hijack Points ------------------------------ HKLM\Software\Microsoft\Internet Explorer\Version = (invalid data) The Internet Explorer version cannot be found! C:\WINDOWS\INF\IERESET.INF (used to “Reset Web Settings”) The contents of IERESET.INF cannot be reliably checked! Added lines (compared with English-language version): [strings]: START_PAGE_URL=“http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome” [strings]: MS_START_PAGE_URL=“http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome” Missing lines (compared with English-language version): [strings]: 2 lines ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 78 seconds. ---------- (total run time: 119 seconds)

system (system) 22 Październik 2006 20:04 #2

niezle musialeś grzebać po tym necie… ale do rzeczy po pierwsze Ad aware usuń wszystko co pokaże , nastepnie easy cleaner- rejestr , pliki, auotostart- to co ci nie pasuje. jak masz taki program to dobrze jak nie to plecam- Acronic Pryvacy Suite usunie reszte śmieci- to są moje trzy narzedzia którymi sie zawsze posługuje i nie mam problemu :lol: napewno sa lepsze ale te lubie i jakos nie chce zmieniać , acha jest i czwarty CCCleaner

Złączono Posta : 22.10.2006 (Nie) 21:08

chyba przy sciąganiu lub oglądaniu zainstalowal sie taki program i co chwile wskakuje jakaś stronka…

Gutek (Gutek) 22 Październik 2006 21:27 #3

plik usuń recznie w trybie awaryjnym

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Ustaw rozszerzenie z TXT na Wszystkie pliki >>> zapisz pod nazwą FIX.REG >>> kliknij podwójnie zrobiony plik i potwierdź >>> reset kompa

Schleppel (Schleppel) 24 Październik 2006 17:06 #4

Jeszcze przed przeczytaniem powyższego postu zadziałałem na własną rękę; ściągnąłem Avasta Professional i zacząłem skanować. Jednym z wykrytych śmieci był wyżej wymieniony plik… Najwyraźniej został on (wraz ze wszystkimi swoimi wpisami) usunięty przez Avasta, później bowiem mimo usilnych starań nie znalazłem żadnego z wpisów (Silent Runners też już ich nie pokazuje). Na koniec podążając za wskazówkami Gutka2222 dodałem wyżej wymieniony wpis do rejestru (z niewiadomych przyczyn plik z poczatku nie chciał się dodać -musiałem zmienić “Windows Registry Editor Version 5.00” na REGEDIT4).

Niestety, nie zmieniło to zbyt wiele -problemy z pornolami nadal występują. Możliwe, że coś zrobiłem źle. Powinienem chyba też dodać, że problem występuje zarówno w IE jak i w FF.

Ponownie zamieszczam najnowszego loga SR:

“Silent Runners.vbs”, revision 49, http://www.silentrunners.org/ Operating System: Windows 98 Output limited to non-default values, except where indicated by “{++}” Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} “Gadu-Gadu” = ““C:\PROGRAM FILES\GADU-GADU\GG.EXE” /tray” [“sms-express.com”] “RemoteCenter” = “C:\Program Files\Creative\SBLive\RemoteCenter\Rc\Rcman.exe” [“Creative Technology Ltd.”] “NBJ” = ““C:\PROGRAM FILES\AHEAD\NERO BACKITUP\NBJ.EXE”” [“Ahead Software AG”] “WRLiteAdm” = ““C:\Program Files\WinRoute Lite\wrladmin.exe” /hide” [“Kerio Technologies Inc.”] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} “internat.exe” = “internat.exe” [MS] “ScanRegistry” = “C:\WINDOWS\scanregw.exe /autorun” [MS] “TaskMonitor” = “C:\WINDOWS\taskmon.exe” [MS] “LoadPowerProfile” = “Rundll32.exe powrprof.dll,LoadCurrentPwrScheme” [MS] “WINDVDPatch” = “CTHELPER.EXE” [“Creative Technology Ltd”] “Jet Detection” = “C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe” ["("] “CTStartup” = “C:\PROGRAM FILES\CREATIVE\SPLASH SCREEN\CTEaxSpl.EXE /run” [“Creative Technology Ltd.”] “WinampAgent” = “C:\Program Files\Winamp\winampa.exe” [null data] “Zasobnik systemowy” = “SysTray.Exe” [MS] “Disc Detector” = “C:\Program Files\Creative\ShareDLL\CtNotify.exe” [“Creative Technology Ltd.”] “NvCplDaemon” = “RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup” [MS] “nwiz” = “nwiz.exe /install” [“NVIDIA Corporation”] “NvMediaCenter” = “RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit” [MS] “avast! Web Scanner” = “C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE” [“ALWIL Software”] “ashMaiSv” = “C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe” [“ALWIL Software”] “SpyHunter” = “C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter.exe” [“Enigma Software Group Inc.”] HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\CTStartup\ {++} “CTStartup” = ““C:\PROGRAM FILES\CREATIVE\SPLASH SCREEN\CTEaxSpl.EXE” /play” [“Creative Technology Ltd.”] HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ {++} “LoadPowerProfile” = “Rundll32.exe powrprof.dll,LoadCurrentPwrScheme” [MS] “SchedulingAgent” = “mstask.exe” [MS] “NVSvc” = “C:\WINDOWS\SYSTEM\nvsvc.exe -runservice” [“NVIDIA Corporation”] “WRLite” = ““C:\Program Files\WinRoute Lite\wrlite.exe” /hide” ["*" (unwritable string)] “avast!” = “C:\Program Files\Alwil Software\Avast4\ashServ.exe” [null data] HKLM\Software\Microsoft\Active Setup\Installed Components\ {44BBA840-CC51-11CF-AAFA-00AA00B6015C}.Restore(Default) = “Microsoft Outlook Express 6” \StubPath = “rundll32.exe advpack.dll,UserUnInstStubWrapper {44BBA840-CC51-11CF-AAFA-00AA00B6015C}” [MS] {7790769C-0471-11d2-AF11-00C04FA35D02}.Restore(Default) = “Książka adresowa 5” \StubPath = “rundll32.exe advpack.dll,UserUnInstStubWrapper {7790769C-0471-11d2-AF11-00C04FA35D02}” [MS] {89820200-ECBD-11cf-8B85-00AA005B4383}.Restore(Default) = “Internet Explorer 6 i narzędzia internetowe” \StubPath = “rundll32.exe advpack.dll,UserUnInstStubWrapper {89820200-ECBD-11cf-8B85-00AA005B4383}” [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}(Default) = (no title provided) -> {HKLM…CLSID} = “AcroIEHlprObj Class” \InProcServer32(Default) = “C:\PROGRAM FILES\ADOBE\ACROBAT 6.0 CE\READER\ACTIVEX\ACROIEHELPER.DLL” [“Adobe Systems Incorporated”] {31FF080D-12A3-439A-A2EF-4BA95A3148E8}(Default) = (no title provided) -> {HKLM…CLSID} = “bho2gr Class” \InProcServer32(Default) = “C:\Program Files\GetRight\xx2gr.dll” [“Headlight Software, Inc.”] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” = “WinRAR shell extension” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “C:\PROGRAM FILES\WINRAR\rarext.dll” [null data] “{2E9D3540-211C-11d0-A5F2-00A0248C37BE}” = “Nero Shell Extension Property Sheet” -> {HKLM…CLSID} = “Nero Shell Extension Property Sheet” \InProcServer32(Default) = “C:\Program Files\Ahead\nero\neroshx.dll” [“Ahead Software AG”] “{A70C977A-BF00-412C-90B7-034C51DA2439}” = “NvCpl DesktopContext Class” -> {HKLM…CLSID} = “DesktopContext Class” \InProcServer32(Default) = “C:\WINDOWS\SYSTEM\NVCPL.DLL” [“NVIDIA Corporation”] “{1CDB2949-8F65-4355-8456-263E7C208A5D}” = “Desktop Explorer” -> {HKLM…CLSID} = “Desktop Explorer” \InProcServer32(Default) = “C:\WINDOWS\SYSTEM\NVSHELL.DLL” [“NVIDIA Corporation”] “{1E9B04FB-F9E5-4718-997B-B8DA88302A47}” = “Desktop Explorer Menu” -> {HKLM…CLSID} = (no title provided) \InProcServer32(Default) = “C:\WINDOWS\SYSTEM\NVSHELL.DLL” [“NVIDIA Corporation”] “{1E9B04FB-F9E5-4718-997B-B8DA88302A48}” = “nView Desktop Context Menu” -> {HKLM…CLSID} = “nView Desktop Context Menu” \InProcServer32(Default) = “C:\WINDOWS\SYSTEM\NVSHELL.DLL” [“NVIDIA Corporation”] “{32020A01-506E-484D-A2A8-BE3CF17601C3}” = “AlcoholShellEx” -> {HKLM…CLSID} = “AlcoholShellEx” \InProcServer32(Default) = “C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXSHLEX.DLL” [“Alcohol Soft Development Team”] “{472083B0-C522-11CF-8763-00608CC02F24}” = “avast” -> {HKLM…CLSID} = “avast” \InProcServer32(Default) = “C:\Program Files\Alwil Software\Avast4\ashShell.dll” [“ALWIL Software”] HKLM\Software\Classes*\shellex\ContextMenuHandlers\ WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “C:\PROGRAM FILES\WINRAR\rarext.dll” [null data] avast(Default) = “{472083B0-C522-11CF-8763-00608CC02F24}” -> {HKLM…CLSID} = “avast” \InProcServer32(Default) = “C:\Program Files\Alwil Software\Avast4\ashShell.dll” [“ALWIL Software”] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “C:\PROGRAM FILES\WINRAR\rarext.dll” [null data] avast(Default) = “{472083B0-C522-11CF-8763-00608CC02F24}” -> {HKLM…CLSID} = “avast” \InProcServer32(Default) = “C:\Program Files\Alwil Software\Avast4\ashShell.dll” [“ALWIL Software”] System Policies {policy setting}: --------------------------------- Note: detected settings may not have any effect. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ “CDRAutoRun” = (REG_BINARY) hex:00 00 00 00 {unrecognized setting} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by System Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ “Wallpaper” = “E:\Moje dokumenty\pies.bmp” Displayed if Active Desktop disabled and wallpaper not set by System Policy: HKCU\Control Panel\Desktop\ “Wallpaper” = “E:\Moje dokumenty\pies.bmp” Startup items in “Startup” & “All Users…Startup” folders: ----------------------------------------------------------- C:\WINDOWS\Menu Start\Programy\Autostart “Microsoft Office” -> shortcut to: “C:\Program Files\Microsoft Office\Office\OSA9.EXE -b -l” [MS] “Skrót do Kwiat” -> shortcut to: “C:\Moje dokumenty\Kwiat.txt” [null data] Enabled Scheduled Tasks: ------------------------ “Rozpoczęcie aplikacji dostrajania” -> launches: “walign” [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = “C:\WINDOWS\SYSTEM\rnr20.dll” [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 00000000000#\PackedCatalogItem (contains) DLL [Company Name], (at) # range: C:\WINDOWS\SYSTEM\mswsosp.dll [MS], 1 C:\WINDOWS\SYSTEM\msafd.dll [MS], 2 - 4 C:\WINDOWS\SYSTEM\rsvpsp.dll [MS], 5 - 6 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {FB5F1910-F110-11D2-BB9E-00C04F795683}\ “ButtonText” = “Messenger” “MenuText” = “MSN Messenger Service” “Exec” = “C:\Program Files\Messenger\MSMSGS.EXE” [MS] {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ “MenuText” = “Sun Java Console” “CLSIDExtension” = “{CAFEEFAC-0015-0000-0002-ABCDEFFEDCBC}” -> {HKLM…CLSID} = “Java Plug-in 1.5.0_02” \InProcServer32(Default) = “C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll” [“Sun Microsystems, Inc.”] Miscellaneous IE Hijack Points ------------------------------ HKLM\Software\Microsoft\Internet Explorer\Version = (invalid data) The Internet Explorer version cannot be found! C:\WINDOWS\INF\IERESET.INF (used to “Reset Web Settings”) The contents of IERESET.INF cannot be reliably checked! Added lines (compared with English-language version): [strings]: START_PAGE_URL=“http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome” [strings]: MS_START_PAGE_URL=“http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome” Missing lines (compared with English-language version): [strings]: 2 lines ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 97 seconds. ---------- (total run time: 135 seconds)

oraz hijack this:

Logfile of HijackThis v1.99.1 Scan saved at 19:09:53, on 06-10-24 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v5.50 (5.50.4134.0600) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\NVSVC.EXE C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\RPCSS.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\CTHELPER.EXE C:\PROGRAM FILES\WINAMP\WINAMPA.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAM FILES\CREATIVE\SHAREDLL\CTNOTIFY.EXE C:\WINDOWS\RUNDLL32.EXE C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE C:\PROGRAM FILES\CREATIVE\SHAREDLL\MEDIADET.EXE C:\PROGRAM FILES\GADU-GADU\GG.EXE C:\PROGRAM FILES\CREATIVE\SBLIVE\REMOTECENTER\RC\RCMAN.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE C:\HJT\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0 CE\READER\ACTIVEX\ACROIEHELPER.DLL O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Program Files\GetRight\xx2gr.dll O4 - HKLM…\Run: [internat.exe] internat.exe O4 - HKLM…\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM…\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM…\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM…\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM…\Run: [Jet Detection] C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM…\Run: [CTStartup] C:\PROGRAM FILES\CREATIVE\SPLASH SCREEN\CTEaxSpl.EXE /run O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [Zasobnik systemowy] SysTray.Exe O4 - HKLM…\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE O4 - HKLM…\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe O4 - HKLM…\Run: [spyHunter] C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter.exe O4 - HKLM…\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM…\RunServices: [schedulingAgent] mstask.exe O4 - HKLM…\RunServices: [NVSvc] C:\WINDOWS\SYSTEM\nvsvc.exe -runservice O4 - HKLM…\RunServices: [WRLite] “C:\Program Files\WinRoute Lite\wrlite.exe” /hide O4 - HKLM…\RunServices: [avast!] C:\Program Files\Alwil Software\Avast4\ashServ.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\PROGRAM FILES\GADU-GADU\GG.EXE” /tray O4 - HKCU…\Run: [RemoteCenter] C:\Program Files\Creative\SBLive\RemoteCenter\Rc\Rcman.exe O4 - HKCU…\Run: [NBJ] “C:\PROGRAM FILES\AHEAD\NERO BACKITUP\NBJ.EXE” O4 - HKCU…\Run: [WRLiteAdm] “C:\Program Files\WinRoute Lite\wrladmin.exe” /hide O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Startup: Skrót do Kwiat.lnk = C:\Moje dokumenty\Kwiat.txt O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra ‘Tools’ menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://creative.com/su/ocx/15015/CTSUEng.cab O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://creative.com/su/ocx/15021/CTPID.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = pa77.kolbudy.sdi.tpnet.pl O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.1.1

Myszak (Myszonus) 24 Październik 2006 17:11 #5

W logach czysto.

Dlatego, że masz win 98se.

Bieniol (Bbieniol) 24 Październik 2006 17:11 #6

Zainstaluj nowszą wersję IE

Wrzuć jeszcze log z programu l2mfix (wybierasz opcje 1)

Gutek (Gutek) 24 Październik 2006 18:11 #7

pomyliłeś narzędzia, chyba FindIt9xme.zip - http://www.searchengines.pl/phpbb203/pl … it9xme.zip Rozpakuj i uruchom Find.bat. Pozwól mu pracować dopóki program nie stworzy loga output.txt.

Schleppel (Schleppel) 25 Październik 2006 15:39 #8

Scan zrobiony -miało być kilka minut, trwało kilka godzin.

Warning! This utility will find legitimate files in addition to malware. Do not remove anything unless you are sure you know what you’re doing. Warning! This utility will find legitimate files in addition to malware. Do not remove anything unless you are sure you know what you’re doing. Warning! This utility will find legitimate files in addition to malware. Do not remove anything unless you are sure you know what you’re doing. ------- System Files in System Directory ------- Wolumin w stacji dysk˘w C: SYSTEM Numer seryjny woluminu: 2465-12DA Katalog C:\WINDOWS\SYSTEM 4 870,41 MB wolnych ------- System Files in System Directory ------- Wolumin w stacji dysk˘w C: SYSTEM Numer seryjny woluminu: 2465-12DA Katalog C:\WINDOWS\SYSTEM 3,055,22 MB wolnych ------- System Files in System Directory ------- Wolumin w stacji dysk˘w C: SYSTEM Numer seryjny woluminu: 2465-12DA Katalog C:\WINDOWS\SYSTEM 2 219,23 MB wolnych ------- Hidden Files in System Directory ------- Wolumin w stacji dysk˘w C: SYSTEM Numer seryjny woluminu: 2465-12DA Katalog C:\WINDOWS\SYSTEM FOLDER HTT 13 264 04.08.13 11:23 folder.htt DESKTOP INI 266 04.08.13 11:23 desktop.ini 2 plik(˘w) 13 530 bajt˘w 0 katalog(˘w) 4 870,39 MB wolnych ---------------- User Agent ------------ ------- Hidden Files in System Directory ------- Wolumin w stacji dysk˘w C: SYSTEM Numer seryjny woluminu: 2465-12DA Katalog C:\WINDOWS\SYSTEM FOLDER HTT 13,264 08-13-04 11:23a folder.htt DESKTOP INI 266 08-13-04 11:23a desktop.ini 2 plik(˘w) 13,530 bajt˘w 0 katalog(˘w) 3,055,22 MB wolnych ---------------- User Agent ------------ ------- Hidden Files in System Directory ------- Wolumin w stacji dysk˘w C: SYSTEM Numer seryjny woluminu: 2465-12DA Katalog C:\WINDOWS\SYSTEM FOLDER HTT 13 264 04.08.13 11:23 folder.htt DESKTOP INI 266 04.08.13 11:23 desktop.ini 2 plik(˘w) 13 530 bajt˘w 0 katalog(˘w) 2 219,23 MB wolnych ---------------- User Agent ------------ REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] ------------------ Locate.com Results ------------------ No matches found. ------------------ Locate.com Results ------------------ No matches found. ------------------ Locate.com Results ------------------ No matches found. ------------ Strings.exe Qoologic Results ------------ ------------ Strings.exe Qoologic Results ------------ C:\PAGEFILE.SYS: Win32:Qoologic-J [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-AF [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-N [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-AH [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-B [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-AC [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-F [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-Y [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-AM [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-E [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-AB [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-Z [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-AL [Trj] C:\PAGEFILE.SYS: Win32:Qoologic [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-R [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-AG [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-M [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-AI [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-V [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-I [Trj] C:\PAGEFILE.SYS: vWin32:Qoologic-O [Trj] C:\PAGEFILE.SYS: qWin32:Qoologic-P [Trj] C:\PAGEFILE.SYS: pWin32:Qoologic-D-UPX [Trj] C:\PAGEFILE.SYS: lWin32:Qoologic-AN [Trj] C:\PAGEFILE.SYS: dWin32:Qoologic-K [Trj] C:\PAGEFILE.SYS: ^Win32:Qoologic-AE [Trj] C:\PAGEFILE.SYS: SWin32:Qoologic-G [Trj] C:\PAGEFILE.SYS: TWin32:Qoologic-X [Trj] C:\PAGEFILE.SYS: GWin32:Qoologic-AK [Trj] C:\PAGEFILE.SYS: AWin32:Qoologic-C [Trj] C:\PAGEFILE.SYS: ;Win32:Qoologic-AD [Trj] C:\PAGEFILE.SYS: (Win32:Qoologic-D [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-H [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-W [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-A C:\PAGEFILE.SYS: Win32:Qoologic-L [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-AO [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-U [Trj] -------------- Strings.exe Aspack Results ------------- -------------- Strings.exe Aspack Results ------------- C:\PAGEFILE.SYS: [ASPack] ----------------- HKLM Run Key ------------------ -------------- Strings.exe Umonitor Results ------------- -------------- Strings.exe Umonitor Results ------------- -------------- Strings.exe Umonitor Results ------------- REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “internat.exe”=“internat.exe” “ScanRegistry”=“C:\WINDOWS\scanregw.exe /autorun” “TaskMonitor”=“C:\WINDOWS\taskmon.exe” “LoadPowerProfile”=“Rundll32.exe powrprof.dll,LoadCurrentPwrScheme” “WINDVDPatch”=“CTHELPER.EXE” “Jet Detection”=“C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe” “CTStartup”=“C:\PROGRAM FILES\CREATIVE\SPLASH SCREEN\CTEaxSpl.EXE /run” “WinampAgent”=“C:\Program Files\Winamp\winampa.exe” “Zasobnik systemowy”=“SysTray.Exe” “Disc Detector”=“C:\Program Files\Creative\ShareDLL\CtNotify.exe” “NvCplDaemon”=“RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup” “nwiz”=“nwiz.exe /install” “NvMediaCenter”=“RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit” “avast! Web Scanner”=“C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE” “ashMaiSv”=“C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe” “SpyHunter”=“C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter.exe” [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS] “Installed”=“1” [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI] “NoChange”=“1” “Installed”=“1” [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL] “Installed”=“1”

Bieniol (Bbieniol) 25 Październik 2006 15:48 #9

Czysto

Schleppel (Schleppel) 25 Październik 2006 20:21 #10

Hmmm… a te:

C:\PAGEFILE.SYS: Win32:Qoologic-J [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-AF [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-N [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-AH [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-B [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-AC [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-F [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-Y [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-AM [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-E [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-AB [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-Z [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-AL [Trj] C:\PAGEFILE.SYS: Win32:Qoologic [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-R [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-AG [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-M [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-AI [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-V [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-I [Trj] C:\PAGEFILE.SYS: vWin32:Qoologic-O [Trj] C:\PAGEFILE.SYS: qWin32:Qoologic-P [Trj] C:\PAGEFILE.SYS: pWin32:Qoologic-D-UPX [Trj] C:\PAGEFILE.SYS: lWin32:Qoologic-AN [Trj] C:\PAGEFILE.SYS: dWin32:Qoologic-K [Trj] C:\PAGEFILE.SYS: ^Win32:Qoologic-AE [Trj] C:\PAGEFILE.SYS: SWin32:Qoologic-G [Trj] C:\PAGEFILE.SYS: TWin32:Qoologic-X [Trj] C:\PAGEFILE.SYS: GWin32:Qoologic-AK [Trj] C:\PAGEFILE.SYS: AWin32:Qoologic-C [Trj] C:\PAGEFILE.SYS: ;Win32:Qoologic-AD [Trj] C:\PAGEFILE.SYS: (Win32:Qoologic-D [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-H [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-W [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-A C:\PAGEFILE.SYS: Win32:Qoologic-L [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-AO [Trj] C:\PAGEFILE.SYS: Win32:Qoologic-U [Trj]

?

Bieniol (Bbieniol) 25 Październik 2006 20:39 #11

Poczytaj tutaj -> http://www.nvision.pl/forum/lofiversion … 22195.html

I ewentualnie tutaj -> http://support.microsoft.com/kb/255205/pl

Schleppel (Schleppel) 28 Październik 2006 10:25 #12

Przez te kilka dni mojej nieobecności na forum kontynuowałem walkę ze świństwem, które obrało sobie mój komputer za siedzibę. W ten sposób udało mi się zdobyć kilka przydatnych informacji.

Na początek włączyłem opcje czyszczenia pagefile.sys przy wyłączaniu systemu. Niestety, nic to nie dało. Następnie zainstalowałem i uruchomiłem program “Spyware doctor”, który coś znalazł i wyrzucił. Od tego czasu zauważyłem, że komputer nie chce się już automatycznie łączyć z internetem, kiedy jest od niego odłączony (dotychczas nie zwracałem na to większej uwagi; myślałem, że to któryś z programów przeze mnie zainstalowanych). Strony porno włączają się jednak nadal. O połączeniach z innymi użytkownikami jeszcze nic nie wiem -sprawdzenie, czy ten objaw nadal występuje wymaga dłuższej obserwacji.

Tak czy inaczej -wygląda na to, że odniosłem połowiczne zwycięstwo nad syfem, który mnie dopadł. Operacje przeze mnie przeprowadzone pokazały również, że mam do czynienia nie z jednym -jak pierwotnie sądziłem -trojanem, lecz z większą ilością bliżej niezidentyfikowanego spyware’u.

Na sam koniec chciałem dodać, że chyba odkryłem, kiedy owe strony się włączają; każda włącza się zawsze wtedy, kiedy wpiszę adres strony nieistniejącej/takiej, z którą nie mogę się połączyć. Zazwyczaj również nie od razu -trzeba ją najpierw odświeżyć. Jedynym wyjątkiem był swojego czasu onet.pl, ale możliwe, że akurat w tym momencie miał problemy techniczne.

Mam nadzieje, że moje obserwacje rzucą jakieś światło na opisywaną przeze mnie sprawę :P.

Bieniol (Bbieniol) 28 Październik 2006 12:06 #13

Zrób skan EWIDO po update

Przeskanuj komputer programami Ad-aware SE Personal 1.06 oraz Spybot Search & Destroy 1.4