Fatalny problem z jakims wirusem - prosba

IP: *.dslextreme.com 13.04.04, 21:16
Prosze przynajmiej o wytlumaczenie co jest grane:

Najpierw zaczne od tego, ze zainstalowalem jakis piracki program i
stwierdzilem na zasadzie intuicji, ze jest czyms zakazony.

Mam licencjonowana wersje Kasperskiego i on sie wlacza raz na dzien i skanuje
i zauwazylem, ze wykrywa jakiegos wirusa. Niestety wersja, ktora sie wlacza
od czasu do czasu nie pozwala na ustawianie opcji, krotko mowiac, zeby dobrze
przeskanowac i zobaczyc co tam sie dzieje musze to odpalac recznie, zaznaczac
opcje skanowania spod programu (scan on demand) a nie schedule. I wtedy
dzieje sie rzecz dziwna.

Program NIE WYKRYWA tego wirusa. Okazuje sie, ze jakims cudem, ten wirus wie,
ze jest skanowany (chyba - nie mam pewnosci) i za drugim razem jak sie go
skanuje to po prostu go nie widac. Przeskanowalem komputer Panda z wp.pl i
wykryl wirusa, po czym go usunal.

Potem ja, uruchamiajac ten program, co na wstepie wspomnialem, znowu
zawirusowalem komputer, znowu odpalil sie automatycznie kasperski o
konkretnej godzinie, wykryl wirusa, ale on tylko pokazuje wtedy, ze jest
wykryty 1 sztuk wirus, nie pokazuje gdzie ani nic. Jak odpale wersje on
demand skaner, to znowu nie wykrywa. Blad polegal na tym, ze powinienem byl
to przewidziec i najpierw odpalic on demand skanner i przynajmiej wiedzialbym
co to za wirus i gdzie siedzi.

Teraz przeskanowalem znowu Panda i tym razem NIE wykrylo nic, a ja jestem
pewien, ze znowu cos tam tkwi.

-Moglby ktos wytlumaczyc DLACZEGO tak sie dzieje, albo przynajmiej
odpowiedziec na pytanie, czy to jest normalne? I co ewentualnie z tym zrobic?

-Jak sprawdzic, czy ten plik instalacyjny exe, programu, ktory wedlug mnie
powoduje to wszystko, jest zakazony i czy da sie jakos jeden taki plik
wyleczyc?


    • netsec Re: Fatalny problem z jakims wirusem - prosba 13.04.04, 21:23
      Może najpierw zamiast rozpisywać się, podaj jaki masz Windows.
      Czy jest zaktualizowany o krytyczne poprawki i czy masz firewall?
      • Gość: Piotr Re: Fatalny problem z jakims wirusem - prosba IP: *.dslextreme.com 13.04.04, 21:36
        o dzieki, mam windows 2000 pro, kerio licencjonowany, jestem za NATem w dosyc
        duzej sieci. Oprocz tego wszystkie opcje typu sharing sa wylaczone.
        Od razu uprzedzam pytanie, ze nie przynosilem zadnych plikow z zewnatrz i nie
        uzywam zadnego P2P. (oprocz tego jednego programu)

        Uzywam IE 6.0 i mam aktualne pathe ze strony windowsow..
        • netsec Re: Fatalny problem z jakims wirusem - prosba 13.04.04, 21:56
          Czy masz zainstalowany Service Pack 4 do Windows 2000?
          Czy Kerio nie informował cię o próbie dostępu do Internetu przez jakiś program?
          Czy możesz podać nazwę tego czegoś co odpaliłeś?
          Czy masz hasła na kontach użytkowników?
          Ściągnij Startuplist www.spywareinfo.com/~merijn/files/StartupList.exe
          Loga z Startuplist (to co pojawi się w okienku) wklej tu na forum, zobaczymy co
          się uruchamia w Twoim systemie. Nie obawiaj się, nie ma w nim żadnych poufnych
          informacji ;)
          • Gość: Piotr Re: Fatalny problem z jakims wirusem - prosba IP: *.dslextreme.com 13.04.04, 22:17
            To juz sprawdzilem. Adaware, Spybotem i programem Startup Mike Lina 2.8 -
            mam tam sterowniki logitecha, jeden plik standartowo windowskowski,
            Synchronization manager, kasperskiego, PGP, wszystko od dawna. NIC nie ma ze
            szpiegostwa. SP 4 jest zainstalowany. Podejrzany program to metastock. Plik
            instalacyjny. Zciagniety z sieci. Pirat. Nie wiem po co to zciagnalem. Bez
            sensu. Teraz zaluje. Probowalem tez wykombinowac cos przez process viewer
            (prcview.exe), ale nic nie widze ciekawego.
            Acha i jeszcze jedna ciekawostka. Jak uruchomie skaner, to zdarza sie, ze
            wyskakuje komunikat z Outlook'a, nie wiem dlaczego, znowu sie nie popisalem, bo
            nie zapisalem co dokladnie napisane bylo, chodzi ogolnie o zapytanie o
            konfiguracje konta, bo tego dziadostwa nie uzywam. Czy jest mozliwe, ze ten
            Virus, to jest jakis keylogger? Cos co sie instaluje i wysyla mailem informacje?
          • Gość: Piotr Re: Fatalny problem z jakims wirusem - prosba IP: *.dslextreme.com 13.04.04, 22:23
            Dalsze pytania:
            Nie bylo ustawionego hasla na komputerze. To pierwsza sprawa. Ustawilem hasla.
            Dwa, Kerio nie sygnalizowal zadnych programow z zewnatrz.
    • Gość: Piotr Re: Fatalny problem z jakims wirusem - prosba IP: *.dslextreme.com 13.04.04, 21:32
      Zampomnialem dodac, ze jak Panda wykryla tego wirusa pierwszy raz, to nie
      zapisalem nazwy. Skad moglem przypuszczac, ze sie pojawi na nowo?
      • netsec Re: Fatalny problem z jakims wirusem - prosba 13.04.04, 22:27
        Co ze startuplist?
        • Gość: piotr lista IP: *.dslextreme.com 13.04.04, 22:53
          backweb-8876480.exe Logitech Desktop Messenger
          ctfmon.exe Alternative User Input Services (Microsoft)
          ldmconf.exe Logitech Desktop Messenger
          PGPtray.exe PGP
          avpcc.exe \wait Kaspersky
          nerocheck.exe Nero Driver Monitor
          em_exec.exe Logitech MouseWare tray
          NvcplDaemon (NvCpl.dll,NVstartup) NVidia Control Panel Display Properties
          Extensions applet
          iTouch.exe Logitech iTouch Kenboard Driver

          • Gość: piotr pelna lista w txt IP: *.dslextreme.com 13.04.04, 23:08
            Zciagnalem ten program, rzeczywiscie jest bardzo szczegolowy.
            Tu sa te dane:

            StartupList report, 4/13/2004, 2:01:22 PM
            StartupList version: 1.52
            Started from : C:\Temp\StartupList.EXE
            Detected: Windows 2000 SP4 (WinNT 5.00.2195)
            Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
            * Using default options
            ==================================================

            Running processes:

            C:\WINNT\System32\smss.exe
            C:\WINNT\system32\winlogon.exe
            C:\WINNT\system32\services.exe
            C:\WINNT\system32\lsass.exe
            C:\WINNT\system32\svchost.exe
            C:\WINNT\system32\spoolsv.exe
            C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus\avpcc.exe
            C:\WINNT\System32\svchost.exe
            C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
            C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
            C:\WINNT\system32\nvsvc32.exe
            C:\WINNT\system32\PGPsdkServ.exe
            C:\WINNT\system32\regsvc.exe
            C:\WINNT\system32\MSTask.exe
            C:\WINNT\system32\stisvc.exe
            C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus\avpm.exe
            C:\WINNT\System32\WBEM\WinMgmt.exe
            C:\WINNT\system32\svchost.exe
            C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
            C:\WINNT\Explorer.EXE
            C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
            C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus\avpcc.exe
            C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
            C:\Program Files\Logitech\iTouch\iTouch.exe
            C:\WINNT\system32\ctfmon.exe
            C:\Program Files\PGP Corporation\PGP for Windows 2000\PGPtray.exe
            C:\Program Files\Internet Explorer\IEXPLORE.EXE
            C:\Program Files\Internet Explorer\IEXPLORE.EXE
            C:\Program Files\CandleWorks\TS\FXTS.exe
            C:\PROGRA~1\CANDLE~1\TS\chart.exe
            C:\PROGRA~1\CANDLE~1\TS\News.exe
            C:\Temp\StartupList.EXE
            C:\WINNT\System32\svchost.exe


            --------------------------------------------------

            Listing of startup folders:

            Shell folders Common Startup:
            [C:\Documents and Settings\All Users\Start Menu\Programs\Startup]
            Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop
            Messenger\8876480\Program\LDMConf.exe
            PGPtray.lnk = C:\Program Files\PGP Corporation\PGP for Windows 2000\PGPtray.exe

            --------------------------------------------------

            Checking Windows NT UserInit:

            [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
            UserInit = C:\WINNT\system32\userinit.exe,

            --------------------------------------------------

            Autorun entries from Registry:
            HKLM\Software\Microsoft\Windows\CurrentVersion\Run

            NvCplDaemon = RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
            Synchronization Manager = mobsync.exe /logon
            NeroCheck = C:\WINNT\system32\NeroCheck.exe
            AVPCC = C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus\avpcc.exe /wait
            EM_EXEC = C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
            zBrowser Launcher = C:\Program Files\Logitech\iTouch\iTouch.exe

            --------------------------------------------------

            Autorun entries from Registry:
            HKCU\Software\Microsoft\Windows\CurrentVersion\Run

            LDM = \Program\BackWeb-8876480.exe
            ctfmon.exe = ctfmon.exe

            --------------------------------------------------

            Shell & screensaver key from C:\WINNT\SYSTEM.INI:

            Shell=*INI section not found*
            SCRNSAVE.EXE=*INI section not found*
            drivers=*INI section not found*

            Shell & screensaver key from Registry:

            Shell=Explorer.exe
            SCRNSAVE.EXE=C:\WINNT\JOHNHI~1.SCR
            drivers=*Registry value not found*

            Policies Shell key:

            HKCU\..\Policies: Shell=*Registry key not found*
            HKLM\..\Policies: Shell=*Registry value not found*

            --------------------------------------------------


            Enumerating Browser Helper Objects:

            (no name) - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_2_3_0.dll -
            {02478D38-C3F9-4efb-9B51-7695ECA05670}
            (no name) - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll -
            {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
            (no name) - C:\PROGRA~1\FlashGet\jccatch.dll - {A5366673-E8CA-11D3-9CD9-
            0090271D075B}

            --------------------------------------------------

            Enumerating Download Program Files:

            [Symantec AntiVirus scanner]
            InProcServer32 = C:\WINNT\Downloaded Program Files\avsniff.dll
            CODEBASE = security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

            [YInstStarter Class]
            InProcServer32 = C:\WINNT\Downloaded Program Files\yinsthelper.dll
            CODEBASE = download.yahoo.com/dl/installs/yinstc.cab

            [RdxIE Class]
            InProcServer32 = C:\WINNT\Downloaded Program Files\RdxIE.dll
            CODEBASE = 207.188.7.150/13856becc2305c572305/netzip/RdxIE601.cab

            [Symantec RuFSI Utility Class]
            InProcServer32 = C:\WINNT\Downloaded Program Files\rufsi.dll
            CODEBASE = security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

            [ActiveScan Installer Class]
            InProcServer32 = C:\WINNT\Downloaded Program Files\asinst.dll
            CODEBASE = www.pandasoftware.com/activescan/as5/asinst.cab

            [Update Class]
            InProcServer32 = C:\WINNT\System32\iuctl.dll
            CODEBASE = v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?
            37894.9325

            [Shockwave Flash Object]
            InProcServer32 = C:\WINNT\system32\macromed\flash\Flash.ocx
            CODEBASE = download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

            [MainControl Class]
            InProcServer32 = C:\WINNT\system32\SkanerOnline.dll
            CODEBASE = skaner.mks.com.pl/SkanerOnline.cab

            [EURAS_Portal.Gateway]
            InProcServer32 = C:\WINNT\Downloaded Program Files\euras.ocx
            CODEBASE = www.euras.com/euras/activex/euras.CAB

            --------------------------------------------------

            Enumerating ShellServiceObjectDelayLoad items:

            Network.ConnectionTray: C:\WINNT\system32\NETSHELL.dll
            WebCheck: C:\WINNT\system32\webcheck.dll
            SysTray: stobject.dll

            --------------------------------------------------
            End of report, 6,292 bytes
            Report generated in 0.078 seconds

            Command line options:
            /verbose - to add additional info on each section
            /complete - to include empty sections and unsuspicious data
            /full - to include several rarely-important sections
            /force9x - to include Win9x-only startups even if running on WinNT
            /forcent - to include WinNT-only startups even if running on Win9x
            /forceall - to include all Win9x and WinNT startups, regardless of platform
            /history - to list version history only
            • Gość: fazzi Re: pelna lista w txt IP: *.chello.pl 14.04.04, 08:16
              Przepraszam , że się "wbijam" ale mam małą prośbę . Netsec , czy mógłbyś rzucić
              okiem na moją "StartupList"
              StartupList report, 2004-04-14, 08:05:46
              StartupList version: 1.52
              Started from : C:\Documents and Settings\amd\Moje dokumenty\StartupList.EXE
              Detected: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
              Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
              * Using default options
              ==================================================

              Running processes:

              C:\WINDOWS\System32\smss.exe
              C:\WINDOWS\system32\winlogon.exe
              C:\WINDOWS\system32\services.exe
              C:\WINDOWS\system32\lsass.exe
              C:\WINDOWS\System32\Ati2evxx.exe
              C:\WINDOWS\system32\svchost.exe
              C:\WINDOWS\System32\svchost.exe
              C:\WINDOWS\system32\spoolsv.exe
              C:\WINDOWS\system32\Ati2evxx.exe
              C:\WINDOWS\Explorer.EXE
              C:\WINDOWS\SOUNDMAN.EXE
              C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
              C:\Program Files\AntiVirenKit professional\AVKPOP.EXE
              C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
              C:\Documents and Settings\amd\Moje dokumenty\framxpro\FreeRAM XP Pro 1.40.exe
              C:\Program Files\Restore Desktop\RestoreDesktop.exe
              C:\Program Files\AntiVirenKit professional\AVKService.exe
              C:\Program Files\AntiVirenKit professional\AVKWCtl.exe
              C:\Program Files\Kerio\Personal Firewall\persfw.exe
              C:\WINDOWS\System32\wuauclt.exe
              C:\Documents and Settings\amd\Moje dokumenty\StartupList.exe

              --------------------------------------------------

              Checking Windows NT UserInit:

              [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
              UserInit = C:\WINDOWS\system32\userinit.exe,

              --------------------------------------------------

              Autorun entries from Registry:
              HKLM\Software\Microsoft\Windows\CurrentVersion\Run

              SoundMan = SOUNDMAN.EXE
              ATIPTA = C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
              NeroCheck = C:\WINDOWS\System32\\NeroCheck.exe
              AVK Mail Checker = "C:\Program Files\AntiVirenKit professional\AVKPOP.EXE"
              SunJavaUpdateSched = C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

              --------------------------------------------------

              Autorun entries from Registry:
              HKCU\Software\Microsoft\Windows\CurrentVersion\Run

              FreeRAM XP = "C:\Documents and Settings\amd\Moje dokumenty\framxpro\FreeRAM XP
              Pro 1.40.exe" -win
              RestoreDesktop = C:\Program Files\Restore Desktop\RestoreDesktop.exe

              --------------------------------------------------

              Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

              Shell=*INI section not found*
              SCRNSAVE.EXE=*INI section not found*
              drivers=*INI section not found*

              Shell & screensaver key from Registry:

              Shell=Explorer.exe
              SCRNSAVE.EXE=C:\WINDOWS\SIMAQU~1.SCR
              drivers=*Registry value not found*

              Policies Shell key:

              HKCU\..\Policies: Shell=*Registry key not found*
              HKLM\..\Policies: Shell=*Registry value not found*

              --------------------------------------------------


              Enumerating Browser Helper Objects:

              (no name) - C:\Program Files\Adobe\Acrobat 5.0
              CE\Reader\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
              (no name) - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-
              206D7942484F}
              Popup Blocker - C:\Program Files\Popup XP\BHOPXP.dll - {C68AE9C0-0909-4DDC-B661-
              C1AFB9F5AE53}

              --------------------------------------------------

              Enumerating Download Program Files:

              [QuickTime Object]
              InProcServer32 = C:\Program Files\QuickTime\QTPlugin.ocx
              CODEBASE = www.apple.com/qtactivex/qtplugin.cab

              [Shockwave ActiveX Control]
              InProcServer32 = C:\WINDOWS\system32\Macromed\Director\SwDir.dll
              CODEBASE = download.macromedia.com/pub/shockwave/cabs/director/sw.cab

              [MSSecurityAdvisor Class]
              InProcServer32 = C:\WINDOWS\System32\mssecadv.dll
              CODEBASE = download.microsoft.com/download/0/5/c/05c905f4-dd30-427d-a3de-
              373c3e5552fc/msSecAdv.cab?1078641382843

              [Cult3D ActiveX Player]
              InProcServer32 = C:\WINDOWS\System32\Cult3D\IECult.dll
              CODEBASE = www.cult3d.com/download/cult.cab

              [TurnTool Scene]
              InProcServer32 = C:\Program Files\TurnTool\Viewer\TNTCtrl1.dll
              CODEBASE = www.turntool.com/ViewerInstall.exe

              [RdxIE Class]
              InProcServer32 = C:\WINDOWS\Downloaded Program Files\RdxIE.dll
              CODEBASE = 207.188.7.150/064e63b9ee2775ea5406/netzip/RdxIE601.cab

              [{62475759-9E84-458E-A1AB-5D2C442ADFDE}]
              CODEBASE =
              a1540.g.akamai.net/7/1540/52/20031216/qtinstall.info.apple.com/mickey/us/win/QuickTimeInstaller.exe

              [{6814A9EF-FBF1-46B2-A46E-56B401079C26}]
              CODEBASE = www.dialer-shop.com/cexe/b200999.exe

              [Shockwave Flash Object]
              InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx
              CODEBASE = fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

              [Tukati Launcher]
              InProcServer32 = C:\WINDOWS\System32\TukatiClientInstaller.dll
              CODEBASE = www.tukati.com/software/4/1.7.20.20/tukati.cab

              --------------------------------------------------

              Enumerating ShellServiceObjectDelayLoad items:

              PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
              CDBurn: C:\WINDOWS\system32\SHELL32.dll
              WebCheck: %system%\webcheck.dll
              SysTray: C:\WINDOWS\System32\stobject.dll

              --------------------------------------------------
              End of report, 5 697 bytes
              Report generated in 0,078 seconds

              Command line options:
              /verbose - to add additional info on each section
              /complete - to include empty sections and unsuspicious data
              /full - to include several rarely-important sections
              /force9x - to include Win9x-only startups even if running on WinNT
              /forcent - to include WinNT-only startups even if running on Win9x
              /forceall - to include all Win9x and WinNT startups, regardless of platform
              /history - to list version history only
              • netsec Re: pelna lista w txt 14.04.04, 10:28
                Gość portalu: fazzi napisał(a):

                > Przepraszam , że się "wbijam" ale mam małą prośbę . Netsec , czy mógłbyś
                > rzucić
                >
                > okiem na moją "StartupList"

                Poszukaj na dysku plików b200999-1.exe i b200999.exe, skasuje je to dialer.
                • Gość: fazzi Re: pelna lista w txt IP: *.chello.pl 14.04.04, 10:32
                  Dziękuje ! Co prawda mam stałe łącze ale śmieci trzeba wyrzucać . Pozdrawiam .
                  • netsec Re: pelna lista w txt 14.04.04, 10:42
                    Gość portalu: fazzi napisał(a):

                    > Dziękuje ! Co prawda mam stałe łącze ale śmieci trzeba wyrzucać . Pozdrawiam

                    To chyba nie wszystko, lepiej dokładnie sprawę zbadać.
                    Ściągnij HijackThis 209.133.47.200/~merijn/files/HijackThis.exe
                    Loga możesz podać tu lub mailem.
                    • Gość: fazzi Re: pelna lista w txt IP: *.chello.pl 14.04.04, 11:35
                      Już jestem , proszę o dokładniejszą instrukcję jak używać tego programu :)

                      Scan saved at 11:31:31, on 2004-04-14
                      Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
                      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

                      Running processes:
                      C:\WINDOWS\System32\smss.exe
                      C:\WINDOWS\system32\winlogon.exe
                      C:\WINDOWS\system32\services.exe
                      C:\WINDOWS\system32\lsass.exe
                      C:\WINDOWS\System32\Ati2evxx.exe
                      C:\WINDOWS\system32\svchost.exe
                      C:\WINDOWS\System32\svchost.exe
                      C:\WINDOWS\system32\spoolsv.exe
                      C:\WINDOWS\system32\Ati2evxx.exe
                      C:\WINDOWS\Explorer.EXE
                      C:\WINDOWS\SOUNDMAN.EXE
                      C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
                      C:\Program Files\AntiVirenKit professional\AVKPOP.EXE
                      C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
                      C:\Documents and Settings\amd\Moje dokumenty\framxpro\FreeRAM XP Pro 1.40.exe
                      C:\Program Files\Restore Desktop\RestoreDesktop.exe
                      C:\Program Files\AntiVirenKit professional\AVKService.exe
                      C:\Program Files\AntiVirenKit professional\AVKWCtl.exe
                      C:\Program Files\Kerio\Personal Firewall\persfw.exe
                      C:\WINDOWS\System32\wuauclt.exe
                      C:\Documents and Settings\amd\Moje dokumenty\HijackThis.exe

                      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
                      www.gazeta.pl/
                      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft
                      Internet Explorer
                      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
                      O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program
                      Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
                      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1
                      \SPYBOT~1\SDHelper.dll
                      O2 - BHO: Popup Blocker - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - C:\Program
                      Files\Popup XP\BHOPXP.dll
                      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
                      C:\WINDOWS\System32\msdxm.ocx
                      O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
                      O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control
                      Panel\atiptaxx.exe
                      O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
                      O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Program Files\AntiVirenKit
                      professional\AVKPOP.EXE"
                      O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
                      O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03
                      \bin\jusched.exe
                      O4 - HKCU\..\Run: [FreeRAM XP] "C:\Documents and Settings\amd\Moje
                      dokumenty\framxpro\FreeRAM XP Pro 1.40.exe" -win
                      O4 - HKCU\..\Run: [RestoreDesktop] C:\Program Files\Restore
                      Desktop\RestoreDesktop.exe
                      O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
                      O9 - Extra button: Messenger (HKLM)
                      O9 - Extra 'Tools' menuitem: Messenger (HKLM)
                      O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) -
                      www.apple.com/qtactivex/qtplugin.cab
                      O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) -
                      download.macromedia.com/pub/shockwave/cabs/director/sw.cab
                      O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) -
                      download.microsoft.com/download/0/5/c/05c905f4-dd30-427d-a3de-373c3e5552fc/msSecAdv.cab?1078641382843
                      O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) -
                      www.cult3d.com/download/cult.cab
                      O16 - DPF: {402EE96E-2CE8-482D-ADA5-CECEEA07E16D} (TurnTool Scene) -
                      www.turntool.com/ViewerInstall.exe
                      O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -
                      207.188.7.150/064e63b9ee2775ea5406/netzip/RdxIE601.cab
                      O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} -
                      a1540.g.akamai.net/7/1540/52/20031216/qtinstall.info.apple.com/mickey/us/win/QuickTimeInstaller.exe
                      O16 - DPF: {6814A9EF-FBF1-46B2-A46E-56B401079C26} - www.dialer-
                      shop.com/cexe/b200999.exe
                      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
                      fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
                      O16 - DPF: {FE5D6722-826F-11D5-A24E-0060B0F1A5AE} (Tukati Launcher) -
                      www.tukati.com/software/4/1.7.20.20/tukati.cab
                      • Gość: fazzi Re: pelna lista w txt IP: *.chello.pl 14.04.04, 11:56
                        plik z www. dialer , jest już usunięty .
                        • Gość: fazzi Re: pelna lista w txt IP: *.chello.pl 14.04.04, 17:01
                          Netsec , zerknij jak możesz na te moje wypociny ;)
            • netsec Re: pelna lista w txt 14.04.04, 11:13
              Gość portalu: piotr napisał(a):

              > ściagnalem ten program, rzeczywiscie jest bardzo szczegolowy.

              Faktycznie Twój log nie wygląda źle, lecz na początek wykonaj taką operacje:
              Menu START => Uruchom wpisz %TEMP% i OK. Pojawi się katalog TEMP. Skasuj wszystkie pliki, które uda się skasować. Później w Opcjach Internetowych usuń pliki cooki i wszystkie tymczasowe pliki internetowe.
              Ściągnij HijackThis 209.133.47.200/~merijn/files/HijackThis.exe
              Loga z HijackThis możesz podać tu na forum lub mailem na moje konto w gazecie.
              Jeśli chcesz w pełni kontrolowac uruchamiane prgramy to polecam program STARTER
              www.snapfiles.com/download/dlstarter.html
              [...]Starter is yet another startup manager, that allows you to view and manage all the programs that are starting automatically whenever Windows boots. It lists all the hidden registry entries, as well as the common Startup Folder items as well. You can choose to safely disable selected entries, edit them or delete them altogether (if you know what you re doing). Expert users can even add their own entries. Very nice interface, easy to use, no documentation though (but hardly needed).[...]
              • Gość: piotr Re: pelna lista w txt IP: *.dslextreme.com 14.04.04, 23:53
                Wiesz co, twoje rady sa nieocenione. Bardzo dziekuje, nic jednak nie moge
                wykryc. Ja sobie poradze. Potrwa to troche ale w koncu cos wymysle.
                Jedna sprawa wyszla. Kolega przegladal internet na moim komputerze w swieta i
                to jednak chyba nie byl ten program co zciagnalem, tylko chyba jakies gow.no z
                internetu.
                Ja nie wiem, taki stary chlop, a porn wlaczyl, nie zorientowalbym sie gdyby nie
                history, i potem zadzwonilem do niego i przyznal sie skur.wie.l.

                Dalo mi do myslenia jak napisales o tym TEMP i cookies.
                To wtedy sprawdzilem. Dzieki.
Pełna wersja