POMOCYYYYYYYYYYYYYYYYYYYYY!!!!!

05.05.04, 16:31
zainstalowaly mi sie jakies smieci

CoolWebSearch, 2-seek toolbar

typ - RegValue i RegData
kategoria - Malware
program Ad-aware6.0 nie moze ich usunąć, bo one się ciągle po
skasowaniu "odnawiają"

POMOCY!!!
    • netsec Re: POMOCYYYYYYYYYYYYYYYYYYYYY!!!!! 05.05.04, 16:33
      r7girdi napisał:

      > zainstalowaly mi sie jakies smieci
      > CoolWebSearch, 2-seek toolbar
      >
      > typ - RegValue i RegData
      > kategoria - Malware
      > program Ad-aware6.0 nie moze ich usunąć, bo one się ciągle po
      > skasowaniu "odnawiają"
      > POMOCY!!!

      Ściągnij CWShredder 209.133.47.200/~merijn/files/CWShredder.exe
      Uruchom i wykonaj Fix. Przed wykonaniem FIX zamknij wszystkie okna Internet
      Explorera, a w trakcie FIX zawsze odpowiadaj OK.

      Jeśli nie pomoże, to ściągnij HijackThis 209.133.47.200/~merijn/files/HijackThis.exe
      Uruchom HijackThis i wykonaj SCAN , zapisz Save Log a zawartość loga z
      HijackThis wklej na forum, zobaczymy co tam siedzi.
      • r7girdi Re: POMOCYYYYYYYYYYYYYYYYYYYYY!!!!! 05.05.04, 16:35
        a tak dokladniej to co to są za programy?
        b caly ten smietnik mi sie zspywarerobil wlasnie po instalowaniu jakiegos
        programu spyware
        • netsec Re: POMOCYYYYYYYYYYYYYYYYYYYYY!!!!! 05.05.04, 16:38
          r7girdi napisał:

          > a tak dokladniej to co to są za programy?
          > b caly ten smietnik mi sie zspywarerobil wlasnie po instalowaniu jakiegos
          > programu spyware

          Te programy się nie instalują i służą do usuwania właśnie takich śmieci.
          Poczytaj sobie o nich na forum lub tutaj 209.133.47.200/~merijn/downloads.html
          • r7girdi Re: POMOCYYYYYYYYYYYYYYYYYYYYY!!!!! 05.05.04, 16:54
            cws shredder wywalil cos ale jak kazalem mu skanowac 2 raz to znowu znalazl to,
            co wywalil
    • r7girdi Re: POMOCYYYYYYYYYYYYYYYYYYYYY!!!!! 05.05.04, 17:15
      log z hijack this wyglada tak


      Running processes:
      C:\WINNT\System32\smss.exe
      C:\WINNT\system32\winlogon.exe
      C:\WINNT\system32\services.exe
      C:\WINNT\system32\lsass.exe
      C:\WINNT\system32\svchost.exe
      C:\WINNT\system32\spoolsv.exe
      C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
      C:\Program Files\Norton Internet Security\NISUM.EXE
      C:\Program Files\Norton Internet Security\ccPxySvc.exe
      C:\WINNT\System32\svchost.exe
      C:\Program Files\Norton AntiVirus\navapsvc.exe
      C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
      C:\WINNT\System32\nvsvc32.exe
      C:\WINNT\system32\regsvc.exe
      C:\WINNT\system32\MSTask.exe
      C:\PROGRA~1\NORTON~3\SPEEDD~1\nopdb.exe
      C:\WINNT\system32\stisvc.exe
      C:\WINNT\Explorer.EXE
      C:\Program Files\Common Files\Symantec Shared\SymTray.exe
      C:\WINNT\Mixer.exe
      C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
      C:\Program Files\Common Files\Symantec Shared\ccApp.exe
      C:\WINNT\System32\internat.exe
      C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
      C:\WINNT\System32\shellexp.exe
      C:\Program Files\office\Office\OSA.EXE
      D:\MACIEJ\INCRED~1\bin\ImApp.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Documents and Settings\Administrator\Pulpit\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
      www.wp.pl/
      R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
      <SAHDownl
      R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = <SAHDownl
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = www.wp.pl
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant =
      about:blank
      O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} -
      C:\WINNT\Downloaded Program Files\ycomp5_0_2_7.dll
      O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program
      Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
      D:\MACIEJ\SPYBOT~1\SDHelper.dll
      O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program
      Files\Norton AntiVirus\NavShExt.dll
      O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -
      C:\WINNT\Downloaded Program Files\ycomp5_0_2_7.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
      C:\WINNT\System32\msdxm.ocx
      O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
      C:\Program Files\Norton AntiVirus\NavShExt.dll
      O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
      O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
      O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-
      Packard\HP Share-to-Web\hpgs2wnd.exe
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
      Shared\ccApp.exe"
      O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec
      Shared\ccRegVfy.exe"
      O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1
      \AdvTools\ADVCHK.EXE
      O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Program Files\Common
      Files\Symantec Shared\Symtray.exe SetReg
      O4 - HKCU\..\Run: [internat.exe] internat.exe
      O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -
      quiet
      O4 - HKCU\..\Run: [WindowBlinds] C:\Program Files\WindowBlinds\wbload.exe auto
      O4 - HKCU\..\Run: [IncrediMail] D:\MACIEJ\INCRED~1\bin\IncMail.exe /c
      O4 - HKCU\..\Run: [Explorer] C:\WINNT\System32\shellexp.exe en
      O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Program Files\Common
      Files\Symantec Shared\Symtrdr.exe
      O4 - Startup: PowerReg Scheduler.exe
      O4 - Startup: Uruchamianie pakietu Office.lnk = C:\Program
      Files\office\Office\OSA.EXE
      O8 - Extra context menu item: &Add animation to IncrediMail Style Box -
      D:\MACIEJ\INCRED~1\bin\resources\WebMenuImg.htm
      O8 - Extra context menu item: &Download with &DAP - D:\MACIEJ\DAP\dapextie.htm
      O8 - Extra context menu item: Download with Go!Zilla - file://D:\MACIEJ\Go!
      Zilla\download-with-gozilla.html
      O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
      O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
      www.pandasoftware.com/activescan/as5/asinst.cab
      O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry
      Information Class) -
      security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
      download.macromedia.com/pub/shockwave/cabs/flash/swflash5r42.cab
      O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
      skaner.mks.com.pl/SkanerOnline.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{283CA751-0E86-4F26-85F7-DCF3C1365D20}:
      NameServer = 194.204.152.34 194.204.159.1

      • netsec Re: POMOCYYYYYYYYYYYYYYYYYYYYY!!!!! 05.05.04, 19:03
        Uruchom ponownie HijackThis zrób SCAN i zaznacz te pozycje:

        R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
        <SAHDownl
        R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = <SAHDownl
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant =
        about:blank
        O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} -
        C:\WINNT\Downloaded Program Files\ycomp5_0_2_7.dll
        O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -
        C:\WINNT\Downloaded Program Files\ycomp5_0_2_7.dll
        O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -
        quiet
        O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
        D:\MACIEJ\SPYBOT~1\SDHelper.dll

        zrób Fix Checked.
        Po tym uruchom komputer ponownie.
        Z menu START wybierz Uruchom wpisz %TEMP% i wykasuj wszystkie pliki
        które można skasować.Upewnij się przed tym, że masz
        w Opcjach folderów włączone Pokaż ukryte pliki i foldery.

        W Opcjach Internetowych wyczyść Tymczasowe pliki Internetowe i Cooki.

        Wyłącz w GG połączenie bezpośrednie jest bardzo niebezpieczne, chociaż
        samo GG nie jest bezpieczne.

        Uruchom raz jeszcze komputer i przyślij loga z
        HijackThis.
        Połącz się z WindowsUpdate www.windowsupdate.com i
        zaktualizuj system o wszystkie krytyczne poprawki.
        • netsec Re: POMOCYYYYYYYYYYYYYYYYYYYYY!!!!! 05.05.04, 19:11

          Przeoczyłem jeden wpis :(
          Uruchom ponownie HijackThis zrób SCAN i zaznacz te pozycje:
          O4 - Startup: PowerReg Scheduler.exe
          • r7girdi Re: POMOCYYYYYYYYYYYYYYYYYYYYY!!!!! 05.05.04, 21:49
            ok. juz zrobilem to co kazales. teraz to wyglada tak:

            Running processes:
            C:\WINNT\System32\smss.exe
            C:\WINNT\system32\winlogon.exe
            C:\WINNT\system32\services.exe
            C:\WINNT\system32\savedump.exe
            C:\WINNT\system32\lsass.exe
            C:\WINNT\system32\svchost.exe
            C:\WINNT\system32\spoolsv.exe
            C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
            C:\Program Files\Norton Internet Security\NISUM.EXE
            C:\Program Files\Norton Internet Security\ccPxySvc.exe
            C:\WINNT\System32\svchost.exe
            C:\Program Files\Norton AntiVirus\navapsvc.exe
            C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
            C:\WINNT\System32\nvsvc32.exe
            C:\WINNT\system32\regsvc.exe
            C:\WINNT\system32\MSTask.exe
            C:\PROGRA~1\NORTON~3\SPEEDD~1\nopdb.exe
            C:\WINNT\system32\stisvc.exe
            C:\WINNT\Explorer.EXE
            C:\Program Files\Common Files\Symantec Shared\SymTray.exe
            C:\WINNT\Mixer.exe
            C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
            C:\Program Files\Common Files\Symantec Shared\ccApp.exe
            C:\WINNT\System32\internat.exe
            C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
            C:\WINNT\System32\shellexp.exe
            C:\Program Files\office\Office\OSA.EXE
            D:\MACIEJ\INCRED~1\bin\ImApp.exe
            C:\Documents and Settings\Administrator\Pulpit\MACIEJ\HijackThis.exe

            R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
            www.wp.pl/
            R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
            R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = www.wp.pl
            R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
            O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program
            Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
            O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program
            Files\Norton AntiVirus\NavShExt.dll
            O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
            C:\WINNT\System32\msdxm.ocx
            O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
            C:\Program Files\Norton AntiVirus\NavShExt.dll
            O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
            O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
            O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
            O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-
            Packard\HP Share-to-Web\hpgs2wnd.exe
            O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
            O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
            Shared\ccApp.exe"
            O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec
            Shared\ccRegVfy.exe"
            O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1
            \AdvTools\ADVCHK.EXE
            O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Program Files\Common
            Files\Symantec Shared\Symtray.exe SetReg
            O4 - HKCU\..\Run: [internat.exe] internat.exe
            O4 - HKCU\..\Run: [WindowBlinds] C:\Program Files\WindowBlinds\wbload.exe auto
            O4 - HKCU\..\Run: [IncrediMail] D:\MACIEJ\INCRED~1\bin\IncMail.exe /c
            O4 - HKCU\..\Run: [Explorer] C:\WINNT\System32\shellexp.exe en
            O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Program Files\Common
            Files\Symantec Shared\Symtrdr.exe
            O4 - Startup: Uruchamianie pakietu Office.lnk = C:\Program
            Files\office\Office\OSA.EXE
            O8 - Extra context menu item: &Add animation to IncrediMail Style Box -
            D:\MACIEJ\INCRED~1\bin\resources\WebMenuImg.htm
            O8 - Extra context menu item: &Download with &DAP - D:\MACIEJ\DAP\dapextie.htm
            O8 - Extra context menu item: Download with Go!Zilla - file://D:\MACIEJ\Go!
            Zilla\download-with-gozilla.html
            O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
            O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
            www.pandasoftware.com/activescan/as5/asinst.cab
            O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry
            Information Class) -
            security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
            O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
            download.macromedia.com/pub/shockwave/cabs/flash/swflash5r42.cab
            O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
            skaner.mks.com.pl/SkanerOnline.cab
            O17 - HKLM\System\CCS\Services\Tcpip\..\{283CA751-0E86-4F26-85F7-DCF3C1365D20}:
            NameServer = 194.204.152.34 194.204.159.1
            • Gość: Seba Re: POMOCYYYYYYYYYYYYYYYYYYYYY!!!!! IP: 80.48.246.* 05.05.04, 22:04
              Hej !!! mam podobny problem, tylko jak się robi log i wkleja na forum?? Dzięki
              za info , chyba jestem laikiem...
              • r7girdi Re: POMOCYYYYYYYYYYYYYYYYYYYYY!!!!! 05.05.04, 22:16
                wybierz program -hijack this-
                wcisnij przycisk -scan-
                a jak juz to zrobisz to wdus -save log-
                i juz


                a potem tylko kopiuj+wklej :)
              • Gość: Seba POMOCY 2 !!!! IP: 80.48.246.* 05.05.04, 22:19
                ppppLogfile of HijackThis v1.97.7
                Scan saved at 22:13:01, on 2004-05-05
                Platform: Windows ME (Win9x 4.90.3000)
                MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

                Running processes:
                C:\WINDOWS\SYSTEM\KERNEL32.DLL
                C:\WINDOWS\SYSTEM\MSGSRV32.EXE
                C:\WINDOWS\SYSTEM\mmtask.tsk
                C:\WINDOWS\SYSTEM\MPREXE.EXE
                C:\WINDOWS\SYSTEM\TABLET.EXE
                C:\WINDOWS\SYSTEM\STIMON.EXE
                C:\WINDOWS\SOINTGR.EXE
                C:\WINDOWS\SYSTEM\SSDPSRV.EXE
                C:\WINDOWS\SYSTEM\MSTASK.EXE
                C:\PROGRAM FILES\PANDA SOFTWARE\PANDA PLATINUM INTERNET
                SECURITY\FIREWALL\PAVFIRES.EXE
                C:\WINDOWS\SYSTEM\MSDTCW.EXE
                C:\WINDOWS\SYSTEM\RPCSS.EXE
                C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
                C:\WINDOWS\EXPLORER.EXE
                C:\PROGRAM FILES\SLYSOFT\CLONECD\CLONECDTRAY.EXE
                C:\PROGRAM FILES\HEWLETT-PACKARD\DIGITAL IMAGING\UNLOAD\HPQCMON.EXE
                C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
                C:\PROGRAM FILES\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE
                C:\PROGRAM FILES\D-TOOLS\DAEMON.EXE
                C:\PROGRAM FILES\INTERNET KEYBOARD\MTRMMKEY.EXE
                C:\WINDOWS\MIXER.EXE
                C:\WINDOWS\SYSTEM\SYSTRAY.EXE
                C:\PROGRAM FILES\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE
                C:\WINDOWS\SYSTEM\DDHELP.EXE
                C:\WINDOWS\TASKMON.EXE
                C:\WINDOWS\SYSTEM\INTERNAT.EXE
                C:\WINDOWS\SM56HLPR.EXE
                C:\PROGRAM FILES\PANDA SOFTWARE\PANDA PLATINUM INTERNET SECURITY\APVXDWIN.EXE
                C:\PROGRAM FILES\GADU-GADU\GG.EXE
                C:\PROGRAM FILES\INTERNET KEYBOARD\KBOSDCTL.EXE
                C:\PROGRAM FILES\INTERNET KEYBOARD\KCODEMSG.EXE
                C:\WINDOWS\SYSTEM\WMIEXE.EXE
                C:\PROGRAM FILES\MICROSOFT SQL SERVER\80\TOOLS\BINN\SQLMANGR.EXE
                C:\PROGRAM FILES\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOBNZ08.EXE
                C:\PROGRAM FILES\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOSOL08.EXE
                C:\PROGRAM FILES\PANDA SOFTWARE\PANDA PLATINUM INTERNET SECURITY\SRVLOAD.EXE
                C:\COREL\GRAPHICS8\PROGRAMS\MFINDEXER.EXE
                C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\OSA.EXE
                C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL$CDN_OPTIMA\BINN\SQLSERVR.EXE
                C:\WINDOWS\SYSTEM\SPOOL32.EXE
                C:\PROGRAM FILES\PANDA SOFTWARE\PANDA PLATINUM INTERNET SECURITY\WEBPROXY.EXE
                C:\PROGRAM FILES\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOEVM08.EXE
                C:\PROGRAM FILES\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOSTS08.EXE
                C:\MOJE DOKUMENTY\HIJACKTHIS.EXE

                R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
                http://crackspider.net/ie/sbar.php
                R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
                http://www.gazeta.pl/0,0.html
                R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
                http://crackspider.net/ie/assist.php
                R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
                R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
                http://www.internetia.pl/cd/0007/start/
                R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Program
                Microsoft Internet Explorer dostarczony przez Internetię
                R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
                O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
                C:\WINDOWS\SYSTEM\MSDXM.OCX
                O4 - HKLM\..\Run: [CloneCDTray] "C:\Program
                Files\SlySoft\CloneCD\CloneCDTray.exe" /s
                O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital
                Imaging\Unload\hpqcmon.exe
                O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common
                Files\Real\Update_OB\realsched.exe" -osboot
                O4 - HKLM\..\Run: [WT GameChannel] C:\Program
                Files\WildTangent\Apps\GameChannel.exe
                O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-
                Packard\HP Share-to-Web\hpgs2wnd.exe
                O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -
                lang 1033
                O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
                O4 - HKLM\..\Run: [AVWUpd32] C:\PROGRA~1\AVWIN9X\AVWUPD32.EXE /min
                O4 - HKLM\..\Run: [MontereyMediaKey] C:\PROGRA~1\INTERN~2\MTRMMKey.EXE
                O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
                O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
                O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe
                powrprof.dll,LoadCurrentPwrScheme
                O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
                O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
                O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
                O4 - HKLM\..\Run: [internat.exe] internat.exe
                O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
                O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Platinum
                Internet Security\Inicio.exe"
                O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Platinum
                Internet Security\APVXDWIN.EXE" /s
                O4 - HKLM\..\RunServices: [TabletService] C:\WINDOWS\SYSTEM\Tablet.exe
                O4 - HKLM\..\RunServices: [MSDTC] msdtcw -start
                O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
                O4 - HKLM\..\RunServices: [SO5 Integrator Pass One] C:\WINDOWS\SOINTGR.EXE
                O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
                O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
                O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
                O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe
                powrprof.dll,LoadCurrentPwrScheme
                O4 - HKLM\..\RunServices: [PavProc] "C:\Program Files\Common Files\Panda
                Software\PavShld\PavPrS9x.exe"
                O4 - HKLM\..\RunServices: [PANDASCHEDULER] "C:\Program Files\Panda
                Software\Panda Platinum Internet Security\Pavsched.exe"
                O4 - HKLM\..\RunServices: [PAVFIRES] C:\Program Files\Panda Software\Panda
                Platinum Internet Security\Firewall\PavFires.exe
                O4 - HKCU\..\Run: [Gadu-Gadu] "C:\PROGRAM FILES\GADU-GADU\GG.EXE" /tray
                O4 - Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80
                \Tools\Binn\sqlmangr.exe
                O4 - Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital
                Imaging\bin\hpobnz08.exe
                O4 - Startup: officejet 6100.lnk = C:\Program Files\Hewlett-Packard\Digital
                Imaging\bin\hposol08.exe
                O4 - Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8
                \Programs\MFIndexer.exe
                O4 - Startup: Microsoft Find Fast.lnk = C:\Program Files\Microsoft
                Office\Office\FINDFAST.EXE
                O4 - Startup: Uruchamianie pakietu Office.lnk = C:\Program Files\Microsoft
                Office\Office\OSA.EXE
                O4 - Startup: SQL Server Instance CDN_OPTIMA.lnk = C:\Program Files\Microsoft
                SQL Server\80\Tools\Binn\scm.exe
                O9 - Extra button: Messenger (HKLM)
                O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
                O9 - Extra button: Real.com (HKLM)
                O9 - Extra button: Internetia (HKCU)
                O9 - Extra button: Wyborcza (HKCU)
                O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda
                platinum internet security\pavlsp.dll
                O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda
                platinum internet security\pavlsp.dll
                O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda
                platinum internet security\pavlsp.dll
                O12 - Plugin for .php: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
                O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
                O12 - Plugin for .TIF: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
                O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
                O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
                O14 - IERESET.INF: START_PAGE_URL=http://www.internetia.pl/cd/0007/start/
                O16 - DPF: ING Bank Online - https://ssl.bsk.com.pl/bskonl/component/INGOnl.cab
                O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Program
                Files\Q330994.exe
                O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-
                its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe
                O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) -
                http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38027.9842939815
                O16 - DPF: jvdkey - https://www.investkonto.pl/keys/jvdkey1.cab
                O16 - DPF: BSK Online - https://ssl.bsk.com.pl/component/BSKOnl.cab
                O16 - DPF: {70AA7362-0A16-11D4-877B-008048C4AC6F} (MainControl Class) -
                http://wirusy.onet.pl/skaner/WebScan.cab
                O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
                http://fpdownload.macromedia.com/p
                • Gość: Seba Re: POMOCY 2 !!!! IP: 80.48.246.* 05.05.04, 22:25
                  Dzięki r7girdi za info,czy udało Ci się pozbyć tego problemu?
                  Wiadomość do netsec: wkleiłem mojego scana i proszę o pomoc co mogę dalej
                  zrobić by pozbyc się uciążliwej strony startowej, z góry dziękuję !!!
                • netsec Re: POMOCY 2 !!!! 05.05.04, 23:25
                  Gość portalu: Seba napisał(a):

                  > ppppLogfile of HijackThis v1.97.7
                  > Scan saved at 22:13:01, on 2004-05-05
                  > Platform: Windows ME (Win9x 4.90.3000)
                  > MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

                  Uruchom ponownie HijackThis zrób SCAN i zaznacz te pozycje:


                  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
                  crackspider.net/ie/sbar.php
                  R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
                  crackspider.net/ie/assist.php
                  R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
                  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
                  www.internetia.pl/cd/0007/start/
                  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Program
                  Microsoft Internet Explorer dostarczony przez Internetię
                  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
                  O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common
                  Files\Real\Update_OB\realsched.exe" -osboot
                  O4 - HKLM\..\Run: [WT GameChannel] C:\Program
                  Files\WildTangent\Apps\GameChannel.exe
                  O4 - HKLM\..\Run: [MontereyMediaKey] C:\PROGRA~1\INTERN~2\MTRMMKey.EXE
                  O4 - Startup: Microsoft Find Fast.lnk = C:\Program Files\Microsoft
                  Office\Office\FINDFAST.EXE
                  O9 - Extra button: Messenger (HKLM)
                  O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
                  O9 - Extra button: Real.com (HKLM)
                  O9 - Extra button: Internetia (HKCU)
                  O9 - Extra button: Wyborcza (HKCU)
                  O12 - Plugin for .php: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
                  O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
                  O12 - Plugin for .TIF: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
                  O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
                  O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
                  O14 - IERESET.INF: START_PAGE_URL=www.internetia.pl/cd/0007/start/
                  O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Program
                  Files\Q330994.exe
                  O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-
                  its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe
                  O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) -
                  v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38027.9842939815
                  O16 - DPF: jvdkey - www.investkonto.pl/keys/jvdkey1.cabO16 - DPF: BSK
                  Online - ssl.bsk.com.pl/component/BSKOnl.cab
                  O16 - DPF: {70AA7362-0A16-11D4-877B-008048C4AC6F} (MainControl Class) -
                  wirusy.onet.pl/skaner/WebScan.cab
                  zrób Fix Checked. Po tym uruchom komputer ponownie.
                  W Opcjach Internetowych wyczyść Tymczasowe pliki Internetowe i Cooki.
                  Wyłącz w GG połączenie bezpośrednie jest bardzo niebezpieczne, chociaż
                  samo GG nie jest bezpieczne. Sprawdź w Dodaj/Usuń programy, czy nie ma czegoś
                  nieznanego.
                  Połącz się z WindowsUpdate www.windowsupdate.com i
                  zaktualizuj system o wszystkie krytyczne poprawki.

                  --
                  Net
                  • Gość: Seba Re: POMOCY 2 !!!! IP: 80.48.246.* 05.05.04, 23:58
                    Wielkie dzięki, jesteś WIELKI!!! :) Prawdopodobnie pomogło :)
                  • Gość: Seba Re: POMOCY 2 !!!! IP: 80.48.246.* 06.05.04, 12:59
                    Mam jeszcze jedno pytanie, po Fix Checked zrobiły mi sie backup plików w
                    folderze moje dokumenty , co z nimi zrobić ? skasować ?
                    Dzięki za wsparcie...
                    • netsec Re: POMOCY 2 !!!! 06.05.04, 13:25
                      Gość portalu: Seba napisał(a):

                      > Mam jeszcze jedno pytanie, po Fix Checked zrobiły mi sie backup plików w
                      > folderze moje dokumenty , co z nimi zrobić ? skasować ?
                      > Dzięki za wsparcie...

                      Jeśli wszystko jest OK, to możesz je skasować.
                      • Gość: Seba Re: POMOCY 2 !!!! IP: 80.48.246.* 06.05.04, 13:48
                        Jest ok, jeszcze raz wielkie dzięki, pozdrawiam!!
            • netsec Re: POMOCYYYYYYYYYYYYYYYYYYYYY!!!!! 05.05.04, 23:03
              r7girdi napisał:

              > ok. juz zrobilem to co kazales. teraz to wyglada tak:

              Czy zrobiłeś restart? Jak te śmieci o których pisałeś?
              • r7girdi Re: POMOCYYYYYYYYYYYYYYYYYYYYY!!!!! 06.05.04, 16:19
                dzienx!
                pomoglo. nic juz nie ma.
                mam jeszcze tylko jedno pytanie.

                plik SVCHOST (nazwa duzymi literami)
                nie wiem co to za zwierz. Plik jest troche dziwny nie wiadomo za pomoca czego
                sie otwiera
                typ pliku to EX_
                a uzywany jest codziennie (we wlasciwosciach tak pisze)

                slyszalem ze to jakis syf ale zaden antywir. nic nie widzi.
                • netsec Re: POMOCYYYYYYYYYYYYYYYYYYYYY!!!!! 06.05.04, 16:52
                  r7girdi napisał:

                  > dzienx!
                  > pomoglo. nic juz nie ma.
                  > mam jeszcze tylko jedno pytanie.
                  >
                  > plik SVCHOST (nazwa duzymi literami)
                  > nie wiem co to za zwierz. Plik jest troche dziwny nie wiadomo za pomoca czego
                  > sie otwiera typ pliku to EX_
                  > a uzywany jest codziennie (we wlasciwosciach tak pisze)
                  > slyszalem ze to jakis syf ale zaden antywir. nic nie widzi.

                  W tym wypadku jest to proces systemowy, może być ich kilka.
Pełna wersja