r7girdi 05.05.04, 16:31 zainstalowaly mi sie jakies smieci CoolWebSearch, 2-seek toolbar typ - RegValue i RegData kategoria - Malware program Ad-aware6.0 nie moze ich usunąć, bo one się ciągle po skasowaniu "odnawiają" POMOCY!!! Odpowiedz Link Zgłoś czytaj wygodnie posty
netsec Re: POMOCYYYYYYYYYYYYYYYYYYYYY!!!!! 05.05.04, 16:33 r7girdi napisał: > zainstalowaly mi sie jakies smieci > CoolWebSearch, 2-seek toolbar > > typ - RegValue i RegData > kategoria - Malware > program Ad-aware6.0 nie moze ich usunąć, bo one się ciągle po > skasowaniu "odnawiają" > POMOCY!!! Ściągnij CWShredder 209.133.47.200/~merijn/files/CWShredder.exe Uruchom i wykonaj Fix. Przed wykonaniem FIX zamknij wszystkie okna Internet Explorera, a w trakcie FIX zawsze odpowiadaj OK. Jeśli nie pomoże, to ściągnij HijackThis 209.133.47.200/~merijn/files/HijackThis.exe Uruchom HijackThis i wykonaj SCAN , zapisz Save Log a zawartość loga z HijackThis wklej na forum, zobaczymy co tam siedzi. Odpowiedz Link Zgłoś
r7girdi Re: POMOCYYYYYYYYYYYYYYYYYYYYY!!!!! 05.05.04, 16:35 a tak dokladniej to co to są za programy? b caly ten smietnik mi sie zspywarerobil wlasnie po instalowaniu jakiegos programu spyware Odpowiedz Link Zgłoś
netsec Re: POMOCYYYYYYYYYYYYYYYYYYYYY!!!!! 05.05.04, 16:38 r7girdi napisał: > a tak dokladniej to co to są za programy? > b caly ten smietnik mi sie zspywarerobil wlasnie po instalowaniu jakiegos > programu spyware Te programy się nie instalują i służą do usuwania właśnie takich śmieci. Poczytaj sobie o nich na forum lub tutaj 209.133.47.200/~merijn/downloads.html Odpowiedz Link Zgłoś
r7girdi Re: POMOCYYYYYYYYYYYYYYYYYYYYY!!!!! 05.05.04, 16:54 cws shredder wywalil cos ale jak kazalem mu skanowac 2 raz to znowu znalazl to, co wywalil Odpowiedz Link Zgłoś
r7girdi Re: POMOCYYYYYYYYYYYYYYYYYYYYY!!!!! 05.05.04, 17:15 log z hijack this wyglada tak Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\Program Files\Norton Internet Security\NISUM.EXE C:\Program Files\Norton Internet Security\ccPxySvc.exe C:\WINNT\System32\svchost.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\PROGRA~1\NORTON~3\SPEEDD~1\nopdb.exe C:\WINNT\system32\stisvc.exe C:\WINNT\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\SymTray.exe C:\WINNT\Mixer.exe C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\WINNT\System32\internat.exe C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\WINNT\System32\shellexp.exe C:\Program Files\office\Office\OSA.EXE D:\MACIEJ\INCRED~1\bin\ImApp.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Administrator\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = <SAHDownl R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = <SAHDownl R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = www.wp.pl R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINNT\Downloaded Program Files\ycomp5_0_2_7.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\MACIEJ\SPYBOT~1\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINNT\Downloaded Program Files\ycomp5_0_2_7.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett- Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1 \AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Program Files\Common Files\Symantec Shared\Symtray.exe SetReg O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe - quiet O4 - HKCU\..\Run: [WindowBlinds] C:\Program Files\WindowBlinds\wbload.exe auto O4 - HKCU\..\Run: [IncrediMail] D:\MACIEJ\INCRED~1\bin\IncMail.exe /c O4 - HKCU\..\Run: [Explorer] C:\WINNT\System32\shellexp.exe en O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Program Files\Common Files\Symantec Shared\Symtrdr.exe O4 - Startup: PowerReg Scheduler.exe O4 - Startup: Uruchamianie pakietu Office.lnk = C:\Program Files\office\Office\OSA.EXE O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\MACIEJ\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &Download with &DAP - D:\MACIEJ\DAP\dapextie.htm O8 - Extra context menu item: Download with Go!Zilla - file://D:\MACIEJ\Go! Zilla\download-with-gozilla.html O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - download.macromedia.com/pub/shockwave/cabs/flash/swflash5r42.cab O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - skaner.mks.com.pl/SkanerOnline.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{283CA751-0E86-4F26-85F7-DCF3C1365D20}: NameServer = 194.204.152.34 194.204.159.1 Odpowiedz Link Zgłoś
netsec Re: POMOCYYYYYYYYYYYYYYYYYYYYY!!!!! 05.05.04, 19:03 Uruchom ponownie HijackThis zrób SCAN i zaznacz te pozycje: R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = <SAHDownl R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = <SAHDownl R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINNT\Downloaded Program Files\ycomp5_0_2_7.dll O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINNT\Downloaded Program Files\ycomp5_0_2_7.dll O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe - quiet O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\MACIEJ\SPYBOT~1\SDHelper.dll zrób Fix Checked. Po tym uruchom komputer ponownie. Z menu START wybierz Uruchom wpisz %TEMP% i wykasuj wszystkie pliki które można skasować.Upewnij się przed tym, że masz w Opcjach folderów włączone Pokaż ukryte pliki i foldery. W Opcjach Internetowych wyczyść Tymczasowe pliki Internetowe i Cooki. Wyłącz w GG połączenie bezpośrednie jest bardzo niebezpieczne, chociaż samo GG nie jest bezpieczne. Uruchom raz jeszcze komputer i przyślij loga z HijackThis. Połącz się z WindowsUpdate www.windowsupdate.com i zaktualizuj system o wszystkie krytyczne poprawki. Odpowiedz Link Zgłoś
netsec Re: POMOCYYYYYYYYYYYYYYYYYYYYY!!!!! 05.05.04, 19:11 Przeoczyłem jeden wpis :( Uruchom ponownie HijackThis zrób SCAN i zaznacz te pozycje: O4 - Startup: PowerReg Scheduler.exe Odpowiedz Link Zgłoś
r7girdi Re: POMOCYYYYYYYYYYYYYYYYYYYYY!!!!! 05.05.04, 21:49 ok. juz zrobilem to co kazales. teraz to wyglada tak: Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\savedump.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\Program Files\Norton Internet Security\NISUM.EXE C:\Program Files\Norton Internet Security\ccPxySvc.exe C:\WINNT\System32\svchost.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\PROGRA~1\NORTON~3\SPEEDD~1\nopdb.exe C:\WINNT\system32\stisvc.exe C:\WINNT\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\SymTray.exe C:\WINNT\Mixer.exe C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\WINNT\System32\internat.exe C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\WINNT\System32\shellexp.exe C:\Program Files\office\Office\OSA.EXE D:\MACIEJ\INCRED~1\bin\ImApp.exe C:\Documents and Settings\Administrator\Pulpit\MACIEJ\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = www.wp.pl R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett- Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1 \AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Program Files\Common Files\Symantec Shared\Symtray.exe SetReg O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [WindowBlinds] C:\Program Files\WindowBlinds\wbload.exe auto O4 - HKCU\..\Run: [IncrediMail] D:\MACIEJ\INCRED~1\bin\IncMail.exe /c O4 - HKCU\..\Run: [Explorer] C:\WINNT\System32\shellexp.exe en O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Program Files\Common Files\Symantec Shared\Symtrdr.exe O4 - Startup: Uruchamianie pakietu Office.lnk = C:\Program Files\office\Office\OSA.EXE O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\MACIEJ\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &Download with &DAP - D:\MACIEJ\DAP\dapextie.htm O8 - Extra context menu item: Download with Go!Zilla - file://D:\MACIEJ\Go! Zilla\download-with-gozilla.html O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - download.macromedia.com/pub/shockwave/cabs/flash/swflash5r42.cab O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - skaner.mks.com.pl/SkanerOnline.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{283CA751-0E86-4F26-85F7-DCF3C1365D20}: NameServer = 194.204.152.34 194.204.159.1 Odpowiedz Link Zgłoś
Gość: Seba Re: POMOCYYYYYYYYYYYYYYYYYYYYY!!!!! IP: 80.48.246.* 05.05.04, 22:04 Hej !!! mam podobny problem, tylko jak się robi log i wkleja na forum?? Dzięki za info , chyba jestem laikiem... Odpowiedz Link Zgłoś
r7girdi Re: POMOCYYYYYYYYYYYYYYYYYYYYY!!!!! 05.05.04, 22:16 wybierz program -hijack this- wcisnij przycisk -scan- a jak juz to zrobisz to wdus -save log- i juz a potem tylko kopiuj+wklej :) Odpowiedz Link Zgłoś
Gość: Seba POMOCY 2 !!!! IP: 80.48.246.* 05.05.04, 22:19 ppppLogfile of HijackThis v1.97.7 Scan saved at 22:13:01, on 2004-05-05 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\TABLET.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\SOINTGR.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAM FILES\PANDA SOFTWARE\PANDA PLATINUM INTERNET SECURITY\FIREWALL\PAVFIRES.EXE C:\WINDOWS\SYSTEM\MSDTCW.EXE C:\WINDOWS\SYSTEM\RPCSS.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\EXPLORER.EXE C:\PROGRAM FILES\SLYSOFT\CLONECD\CLONECDTRAY.EXE C:\PROGRAM FILES\HEWLETT-PACKARD\DIGITAL IMAGING\UNLOAD\HPQCMON.EXE C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE C:\PROGRAM FILES\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE C:\PROGRAM FILES\D-TOOLS\DAEMON.EXE C:\PROGRAM FILES\INTERNET KEYBOARD\MTRMMKEY.EXE C:\WINDOWS\MIXER.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAM FILES\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\WINDOWS\SM56HLPR.EXE C:\PROGRAM FILES\PANDA SOFTWARE\PANDA PLATINUM INTERNET SECURITY\APVXDWIN.EXE C:\PROGRAM FILES\GADU-GADU\GG.EXE C:\PROGRAM FILES\INTERNET KEYBOARD\KBOSDCTL.EXE C:\PROGRAM FILES\INTERNET KEYBOARD\KCODEMSG.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAM FILES\MICROSOFT SQL SERVER\80\TOOLS\BINN\SQLMANGR.EXE C:\PROGRAM FILES\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOBNZ08.EXE C:\PROGRAM FILES\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOSOL08.EXE C:\PROGRAM FILES\PANDA SOFTWARE\PANDA PLATINUM INTERNET SECURITY\SRVLOAD.EXE C:\COREL\GRAPHICS8\PROGRAMS\MFINDEXER.EXE C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\OSA.EXE C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL$CDN_OPTIMA\BINN\SQLSERVR.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\PROGRAM FILES\PANDA SOFTWARE\PANDA PLATINUM INTERNET SECURITY\WEBPROXY.EXE C:\PROGRAM FILES\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOEVM08.EXE C:\PROGRAM FILES\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOSTS08.EXE C:\MOJE DOKUMENTY\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://crackspider.net/ie/sbar.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://crackspider.net/ie/assist.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetia.pl/cd/0007/start/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Program Microsoft Internet Explorer dostarczony przez Internetię R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WT GameChannel] C:\Program Files\WildTangent\Apps\GameChannel.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett- Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" - lang 1033 O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe" O4 - HKLM\..\Run: [AVWUpd32] C:\PROGRA~1\AVWIN9X\AVWUPD32.EXE /min O4 - HKLM\..\Run: [MontereyMediaKey] C:\PROGRA~1\INTERN~2\MTRMMKey.EXE O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [internat.exe] internat.exe O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Platinum Internet Security\Inicio.exe" O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Platinum Internet Security\APVXDWIN.EXE" /s O4 - HKLM\..\RunServices: [TabletService] C:\WINDOWS\SYSTEM\Tablet.exe O4 - HKLM\..\RunServices: [MSDTC] msdtcw -start O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\RunServices: [SO5 Integrator Pass One] C:\WINDOWS\SOINTGR.EXE O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [PavProc] "C:\Program Files\Common Files\Panda Software\PavShld\PavPrS9x.exe" O4 - HKLM\..\RunServices: [PANDASCHEDULER] "C:\Program Files\Panda Software\Panda Platinum Internet Security\Pavsched.exe" O4 - HKLM\..\RunServices: [PAVFIRES] C:\Program Files\Panda Software\Panda Platinum Internet Security\Firewall\PavFires.exe O4 - HKCU\..\Run: [Gadu-Gadu] "C:\PROGRAM FILES\GADU-GADU\GG.EXE" /tray O4 - Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80 \Tools\Binn\sqlmangr.exe O4 - Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe O4 - Startup: officejet 6100.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hposol08.exe O4 - Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8 \Programs\MFIndexer.exe O4 - Startup: Microsoft Find Fast.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Uruchamianie pakietu Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE O4 - Startup: SQL Server Instance CDN_OPTIMA.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\scm.exe O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM) O9 - Extra button: Real.com (HKLM) O9 - Extra button: Internetia (HKCU) O9 - Extra button: Wyborcza (HKCU) O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda platinum internet security\pavlsp.dll O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda platinum internet security\pavlsp.dll O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda platinum internet security\pavlsp.dll O12 - Plugin for .php: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .TIF: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O14 - IERESET.INF: START_PAGE_URL=http://www.internetia.pl/cd/0007/start/ O16 - DPF: ING Bank Online - https://ssl.bsk.com.pl/bskonl/component/INGOnl.cab O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Program Files\Q330994.exe O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms- its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38027.9842939815 O16 - DPF: jvdkey - https://www.investkonto.pl/keys/jvdkey1.cab O16 - DPF: BSK Online - https://ssl.bsk.com.pl/component/BSKOnl.cab O16 - DPF: {70AA7362-0A16-11D4-877B-008048C4AC6F} (MainControl Class) - http://wirusy.onet.pl/skaner/WebScan.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/p Odpowiedz Link Zgłoś
Gość: Seba Re: POMOCY 2 !!!! IP: 80.48.246.* 05.05.04, 22:25 Dzięki r7girdi za info,czy udało Ci się pozbyć tego problemu? Wiadomość do netsec: wkleiłem mojego scana i proszę o pomoc co mogę dalej zrobić by pozbyc się uciążliwej strony startowej, z góry dziękuję !!! Odpowiedz Link Zgłoś
netsec Re: POMOCY 2 !!!! 05.05.04, 23:25 Gość portalu: Seba napisał(a): > ppppLogfile of HijackThis v1.97.7 > Scan saved at 22:13:01, on 2004-05-05 > Platform: Windows ME (Win9x 4.90.3000) > MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Uruchom ponownie HijackThis zrób SCAN i zaznacz te pozycje: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = crackspider.net/ie/sbar.php R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = crackspider.net/ie/assist.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.internetia.pl/cd/0007/start/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Program Microsoft Internet Explorer dostarczony przez Internetię R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WT GameChannel] C:\Program Files\WildTangent\Apps\GameChannel.exe O4 - HKLM\..\Run: [MontereyMediaKey] C:\PROGRA~1\INTERN~2\MTRMMKey.EXE O4 - Startup: Microsoft Find Fast.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM) O9 - Extra button: Real.com (HKLM) O9 - Extra button: Internetia (HKCU) O9 - Extra button: Wyborcza (HKCU) O12 - Plugin for .php: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .TIF: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O14 - IERESET.INF: START_PAGE_URL=www.internetia.pl/cd/0007/start/ O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Program Files\Q330994.exe O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms- its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38027.9842939815 O16 - DPF: jvdkey - www.investkonto.pl/keys/jvdkey1.cabO16 - DPF: BSK Online - ssl.bsk.com.pl/component/BSKOnl.cab O16 - DPF: {70AA7362-0A16-11D4-877B-008048C4AC6F} (MainControl Class) - wirusy.onet.pl/skaner/WebScan.cab zrób Fix Checked. Po tym uruchom komputer ponownie. W Opcjach Internetowych wyczyść Tymczasowe pliki Internetowe i Cooki. Wyłącz w GG połączenie bezpośrednie jest bardzo niebezpieczne, chociaż samo GG nie jest bezpieczne. Sprawdź w Dodaj/Usuń programy, czy nie ma czegoś nieznanego. Połącz się z WindowsUpdate www.windowsupdate.com i zaktualizuj system o wszystkie krytyczne poprawki. -- Net Odpowiedz Link Zgłoś
Gość: Seba Re: POMOCY 2 !!!! IP: 80.48.246.* 05.05.04, 23:58 Wielkie dzięki, jesteś WIELKI!!! :) Prawdopodobnie pomogło :) Odpowiedz Link Zgłoś
Gość: Seba Re: POMOCY 2 !!!! IP: 80.48.246.* 06.05.04, 12:59 Mam jeszcze jedno pytanie, po Fix Checked zrobiły mi sie backup plików w folderze moje dokumenty , co z nimi zrobić ? skasować ? Dzięki za wsparcie... Odpowiedz Link Zgłoś
netsec Re: POMOCY 2 !!!! 06.05.04, 13:25 Gość portalu: Seba napisał(a): > Mam jeszcze jedno pytanie, po Fix Checked zrobiły mi sie backup plików w > folderze moje dokumenty , co z nimi zrobić ? skasować ? > Dzięki za wsparcie... Jeśli wszystko jest OK, to możesz je skasować. Odpowiedz Link Zgłoś
Gość: Seba Re: POMOCY 2 !!!! IP: 80.48.246.* 06.05.04, 13:48 Jest ok, jeszcze raz wielkie dzięki, pozdrawiam!! Odpowiedz Link Zgłoś
netsec Re: POMOCYYYYYYYYYYYYYYYYYYYYY!!!!! 05.05.04, 23:03 r7girdi napisał: > ok. juz zrobilem to co kazales. teraz to wyglada tak: Czy zrobiłeś restart? Jak te śmieci o których pisałeś? Odpowiedz Link Zgłoś
r7girdi Re: POMOCYYYYYYYYYYYYYYYYYYYYY!!!!! 06.05.04, 16:19 dzienx! pomoglo. nic juz nie ma. mam jeszcze tylko jedno pytanie. plik SVCHOST (nazwa duzymi literami) nie wiem co to za zwierz. Plik jest troche dziwny nie wiadomo za pomoca czego sie otwiera typ pliku to EX_ a uzywany jest codziennie (we wlasciwosciach tak pisze) slyszalem ze to jakis syf ale zaden antywir. nic nie widzi. Odpowiedz Link Zgłoś
netsec Re: POMOCYYYYYYYYYYYYYYYYYYYYY!!!!! 06.05.04, 16:52 r7girdi napisał: > dzienx! > pomoglo. nic juz nie ma. > mam jeszcze tylko jedno pytanie. > > plik SVCHOST (nazwa duzymi literami) > nie wiem co to za zwierz. Plik jest troche dziwny nie wiadomo za pomoca czego > sie otwiera typ pliku to EX_ > a uzywany jest codziennie (we wlasciwosciach tak pisze) > slyszalem ze to jakis syf ale zaden antywir. nic nie widzi. W tym wypadku jest to proces systemowy, może być ich kilka. Odpowiedz Link Zgłoś