Dodaj do ulubionych

Wredy wirus Bloodhound Packed.

06.06.04, 22:07
Witam.Bardzo proszę o pomoc w usunięciu wirusa Bloodhound Packed i
W32.Spybot.Worm.Wirusy znalazł Norton Antivirus 2003,a ich lokalizacja to
C:/Windows/system32...Zgodnie z radą dla innych udzieloną przez Netseca
seskanowałem programem HijackThis i wyszło tak:
Logfile of HijackThis v1.97.7
Scan saved at 22:07:14, on 2004-06-06
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\iNTERNET Turbo\iDetect.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\ABBYY\FineReader 5.0 Sprint\CAgent.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\TGTSoft\StyleXP\StyleXP.exe
C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Programy\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.wp.pl/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Settings,ProxyServer = proxy.easy-com.pl:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - (no
file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program
Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program
Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec
Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Detect] C:\Program Files\iNTERNET Turbo\iDetect.exe /auto
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -
lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ABBYY Community Agent] C:\Program Files\ABBYY\FineReader
5.0 Sprint\CAgent.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Dzieńdobry!] C:\Program Files\VSD Software\Dzieńdobry!
\dziendobry.exe /auto
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKLM\..\RunOnce: [Hardcore] C:\261639.bat
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office\OSA9.EXE
O12 - Plugin for .spop: C:\Program Files\Internet
Explorer\Plugins\NPDocBox.dll
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} -
download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {9E1089BC-1AE8-4685-8D77-6721E5C318A8} (loader2 Class) -
217.73.66.16/comload.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab
Co mam teraz zrobić,proszę o pomoc
Obserwuj wątek
    • netsec Re: Wredy wirus Bloodhound Packed. 06.06.04, 22:27
      pmes napisał:

      > Witam.Bardzo proszę o pomoc w usunięciu wirusa Bloodhound Packed i
      > W32.Spybot.Worm.Wirusy znalazł Norton Antivirus 2003,a ich lokalizacja to
      > C:/Windows/system32...Zgodnie z radą dla innych udzieloną przez Netseca
      > seskanowałem programem HijackThis i wyszło tak:
      > Logfile of HijackThis v1.97.7
      > Scan saved at 22:07:14, on 2004-06-06
      > Platform: Windows XP (WinNT 5.01.2600)
      > MSIE: Internet Explorer v6.00 (6.00.2600.0000)

      Włącz zaporę Internetową
      www.microsoft.com/poland/security/protect/windowsxp/firewall.aspx
      Uruchom komputer ponownie.

      Uruchom ponownie HijackTHis wykonaj SCAN i zaznacz te pozycje:


      R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - (no
      file)
      O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
      O4 - HKLM\..\RunOnce: [Hardcore] C:\261639.bat

      Po zaznaczeniu wykonaj FIX CHECKED i OK.

      W Panel Sterowania => Opcje Internetowe usuń Tymczasowe pliki Internetowe
      (Wszystkie) i Cooki.

      Ściągnij ten wpis do rejestru
      www.spywareinfo.com/downloads/tools/IEFIX.reg
      Uruchom klikając,i zaakceptuj wpis.

      Ściągnij CWShredder 209.133.47.12/~merijn/files/CWShredder.exe
      Uruchom i wykonaj Fix. Przed wykonaniem FIX zamknij wszystkie okna
      Internet Explorera, a w trakcie FIX zawsze odpowiadaj OK.

      Z menu START wybierz Uruchom wpisz %TEMP% i wykasuj wszystkie pliki
      które można skasować. Upewnij się przed tym, że masz w Opcjach folderów
      zakładka Widok zaznaczone Pokaż ukryte pliki i foldery.

      Uruchom komputer ponownie

      Zainstaluj te poprawki:

      download.microsoft.com/download/3/b/0/3b0062ab-3627-498d-b05e-04a5b56eaf82/WindowsXP-KB835732-x86-PLK.EXE

      download.microsoft.com/download/4/8/0/4801e427-5d62-4bbb-9d94-d4c80fbca744/WindowsXP-KB828741-x86-PLK.EXE

      download.microsoft.com/download/f/f/3/ff39c62a-6903-4393-baa5-ce95f6ee846f/OE6.0sp1-KB837009-x86-PLK.exe

      download.microsoft.com/download/6/a/3/6a370b8e-1d81-4b7c-a666-7e0c85d2cc1a/WindowsXP-KB837001-x86-PLK.EXE

      download.microsoft.com/download/c/d/3/cd37ab56-fde6-4f25-ac22-02329044acee/WindowsXP-KB840374-x86-PLK.EXE

      Odinstaluj w Panelu sterowania Dodaj/Usuń programy wszystkie
      programy, co do których nie masz pewności, że Ci są potrzebne.

      Uruchom komputer ponownie

      Zaktualizuj Nortona aktualizacją off-line i sprawdź datę w panelu
      Nortona czy się zaktualizował powinna być data 2004-06-06
      securityresponse.symantec.com/avcenter/download/us-files/20040606-019-i32.exe

      Przeskanuj Nortonem wszystkie dyski.

      Możesz dodatkowo przeskanować system Ad-aware.
      Jeśli nie masz Ad-aware to jest tu
      download.com.com/3000-2144-10045910.html?part=69274&subj=dlpage&tag=button
      Przed skanowaniem Ad-aware zaktualizuj bazę (Check for updates now)
      i zmień ustawienia skanowania na opisane tu
      ralphcaddell.com/pchelp/Ad-aware%20instructions.htm
      Powinieneś zaktualizować system w www.windowsupdate.com o wszystkie
      krytyczne poprawki w tym Service Pack 1.

      Napisz jak poszło.
      • Gość: bugosz Re: Wredy wirus Bloodhound Packed. IP: *.broker.com.pl 04.07.04, 14:50
        tez mam tego wirusa i chcialam sie zastosowac do podanych wyzej wskazowek.
        Skonczylo sie na checiach :( Nie moge zalozyc zapory internetowej :|. Nie mam
        podanych pozycji w HijackTHis ( R3 - URLSearchHook: (no name) - {8952A998-1E7E-
        4716-B23D-3DBE03910972} - (no
        file)
        O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
        O4 - HKLM\..\RunOnce: [Hardcore] C:\261639.bat) esh :|. Co ja mam teraz z
        robic??? z gory dziekuje za pomoc
      • Gość: zm00ra Re: Wredy wirus Bloodhound Packed. IP: *.dip.t-dialin.net 05.08.04, 17:16
        czesć bardzo prosze o pomoc z tym wrednym wirusem !!!

        Logfile of HijackThis v1.98.1
        Scan saved at 17:13:07, on 2004-08-05
        Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\system32\spoolsv.exe
        C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
        C:\MSC\flexlm\LMGRD.EXE
        C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
        C:\Program Files\Norton AntiVirus\navapsvc.exe
        C:\WINDOWS\system32\crgj32.exe
        C:\MSC\flexlm\MSC.EXE
        C:\WINDOWS\system32\slserv.exe
        C:\WINDOWS\System32\svchost.exe
        C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
        C:\Program Files\Norton AntiVirus\SAVScan.exe
        C:\WINDOWS\Explorer.EXE
        C:\YDPDict\watch.exe
        C:\Program Files\Wireless 11Mbps Network\XPFix.exe
        C:\Program Files\Common Files\Symantec Shared\ccApp.exe
        C:\WINDOWS\d3of.exe
        C:\WINDOWS\System32\hjgqzs.exe
        C:\Program Files\Gadu-Gadu\gg.exe
        C:\Program Files\Tlen.pl\tlen.exe
        C:\Program Files\Messenger\msmsgs.exe
        C:\Program Files\Skype\Phone\Skype.exe
        C:\YDPDICT\Watch.exe
        C:\WINDOWS\system32\ntvdm.exe
        C:\Program Files\Internet Explorer\iexplore.exe
        C:\Documents and Settings\Admin\Ustawienia lokalne\Temp\Katalog tymczasowy 1
        dla hijackthis.zip\HijackThis.exe
        C:\Program Files\Common Files\Symantec Shared\NMain.exe
        C:\Program Files\Symantec\LiveUpdate\LUALL.EXE
        C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
        res://C:\WINDOWS\system32\tkkls.dll/sp.html#96676
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
        res://C:\WINDOWS\system32\tkkls.dll/sp.html#96676
        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
        res://tkkls.dll/index.html#96676
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
        res://tkkls.dll/index.html#96676
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
        res://C:\WINDOWS\system32\tkkls.dll/sp.html#96676
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
        res://C:\WINDOWS\system32\tkkls.dll/sp.html#96676
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
        res://C:\WINDOWS\system32\tkkls.dll/sp.html#96676
        R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
        res://tkkls.dll/index.html#96676
        R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
        res://C:\WINDOWS\system32\tkkls.dll/sp.html#96676
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
        res://C:\WINDOWS\system32\tkkls.dll/sp.html#96676
        R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
        red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr/*http://www.yahoo.com
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak =
        www.onet.pl/
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
        R3 - Default URLSearchHook is missing
        F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe,
        O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} -
        C:\WINDOWS\twaintec.dll (file missing)
        O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
        C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
        O2 - BHO: (no name) - {10A94D7C-72AD-A449-0850-B29FF9D9B30B} -
        C:\WINDOWS\system32\netpo.dll
        O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} -
        C:\Program Files\Norton AntiVirus\NavShExt.dll
        O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
        C:\Program Files\Norton AntiVirus\NavShExt.dll
        O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
        C:\WINDOWS\System32\msdxm.ocx
        O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
        O4 - HKLM\..\Run: [Alice] C:\Program Files\Wireless 11Mbps Network\XPFix.exe
        O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
        Shared\ccApp.exe"
        O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
        atboottime
        O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
        O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
        O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32
        \spool\drivers\w32x86\3\hpztsb05.exe
        O4 - HKLM\..\Run: [CloneCDTray] "C:\Program
        Files\SlySoft\CloneCD\CloneCDTray.exe" /s
        O4 - HKLM\..\Run: [d3of.exe] C:\WINDOWS\d3of.exe
        O4 - HKLM\..\Run: [ztzyxqcryobx] C:\WINDOWS\System32\hjgqzs.exe
        O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
        O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.exe
        O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
        O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
        O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
        O4 - HKCU\..\Run: [Skype] "C:\Program
        Files\Skype\Phone\Skype.exe" /nosplash /minimized
        O4 - Global Startup: Aktywacja Testera.lnk = C:\YDPDICT\Watch.exe
        O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe
        O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
        Office\Office10\OSA.EXE
        O8 - Extra context menu item: Download with GetRight - C:\Program
        Files\GetRight\GRdownload.htm
        O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
        res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
        O8 - Extra context menu item: Open with GetRight Browser - C:\Program
        Files\GetRight\GRbrowse.htm
        O16 - DPF: komentator - sport.onet.pl/komentator.cab
        O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
        public.windupdates.com/get_file.php?bt=ie&p=49e422e7968751004a7c475f91f16bf5704ecd078aae7d3982a3508206fdc37f677f5429
        ee732a811e3c55f70527c293f863e8:8b5b4fff0cd3ceb2d022384e480b9c0d
        O16 - DPF: {631FF594-EC25-4CFF-B869-402DF294E1C5} (Formant instalacji programów
        Onet.pl) - slimak.onet.pl/_m/konekt/OnetInstalator010.ocx
        O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
        skaner.mks.com.pl/SkanerOnline.cab
        • Gość: Alia_od_noza Re: Wredy wirus Bloodhound Packed. IP: *.chello.pl 07.08.04, 13:10
          Rany, ale masz bajzel. Na pewno do wywalenia (zaznaczyć i opcja Fix checked):

          > R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
          > res://C:\WINDOWS\system32\tkkls.dll/sp.html#96676
          > R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
          > res://C:\WINDOWS\system32\tkkls.dll/sp.html#96676
          > R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
          > res://tkkls.dll/index.html#96676
          > R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
          > res://tkkls.dll/index.html#96676
          > R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
          > res://C:\WINDOWS\system32\tkkls.dll/sp.html#96676
          > R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
          > res://C:\WINDOWS\system32\tkkls.dll/sp.html#96676
          > R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
          > res://C:\WINDOWS\system32\tkkls.dll/sp.html#96676
          > R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
          > res://tkkls.dll/index.html#96676
          > R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
          > res://C:\WINDOWS\system32\tkkls.dll/sp.html#96676
          > R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
          > res://C:\WINDOWS\system32\tkkls.dll/sp.html#96676

          > O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe

          > O4 - HKLM\..\Run: [d3of.exe] C:\WINDOWS\d3of.exe
          > O4 - HKLM\..\Run: [ztzyxqcryobx] C:\WINDOWS\System32\hjgqzs.exe

          > O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.exe

          To do usunięcia na pewno, może jeszcze ktoś coś wyłapie.
          • kalinowski11 Re: Wredy wirus Bloodhound Packed. 07.08.04, 16:55
            Gość portalu: Alia_od_noza napisał(a):

            > Rany, ale masz bajzel. Na pewno do wywalenia (zaznaczyć i opcja Fix checked):


            > > O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe

            www.sysinfo.org/startuplist.php?submit=&filter=khooker.exe&submit.x=9&submit.y=9


            > > O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.exe

            www.sysinfo.org/startuplist.php?submit=&filter=sistray.exe&submit.x=7&submit.y=7


            Moim skromnym zdaniem powyższego akurat likwidować nie potrzeba :)
            • Gość: Alia_od_noza Re: Wredy wirus Bloodhound Packed. IP: *.chello.pl 07.08.04, 17:48

              > > > O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
              > www.sysinfo.org/startuplist.php?submit=&filter=khooker.exe&submit.x=9&submit.y=9
              >
              > > > O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.exe
              > www.sysinfo.org/startuplist.php?submit=&filter=sistray.exe&submit.x=7&submit.y=7
              >
              > Moim skromnym zdaniem powyższego akurat likwidować nie potrzeba :)

              Może ten program nie jest niebezpieczny, ale czytałam, że nie jest do niczego
              konieczny, a czasem może powodować zakłócenia pracy komputera. Generalnie
              wyznaję zasadę, że w startupie powinny być tylko rzeczy niezbędne.
              Jak rozumiem, co do reszty moich propozycji się zgadzasz?
        • kalinowski11 Re: Wredy wirus Bloodhound Packed. 07.08.04, 17:57
          Witam !

          Czy masz włączonego firewalla systemowego XP ? Jeżeli nie uruchom zaporę .
          Jak ?
          Wszystko poniżej :

          www.microsoft.com/poland/security/protect/windowsxp/firewall.aspx

          Potem zajrzyj tutaj :

          www.windowsupdate.com/

          Wyłącz przywracanie systemu :

          support.microsoft.com/default.aspx?scid=kb;pl;310405


          Otwórz "Panel Sterowania" i w "Opcjach Internetowych" "Usuń pliki cookie" oraz
          "usuń pliki..." zaznaczając "Usuń całą zawartość offline" .


          Za pomocą hijacka usuń :


          > R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
          > res://C:\WINDOWS\system32\tkkls.dll/sp.html#96676
          > R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
          > res://C:\WINDOWS\system32\tkkls.dll/sp.html#96676
          > R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
          > res://tkkls.dll/index.html#96676
          > R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
          > res://tkkls.dll/index.html#96676
          > R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
          > res://C:\WINDOWS\system32\tkkls.dll/sp.html#96676
          > R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
          > res://C:\WINDOWS\system32\tkkls.dll/sp.html#96676
          > R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
          > res://C:\WINDOWS\system32\tkkls.dll/sp.html#96676
          > R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
          > res://tkkls.dll/index.html#96676
          > R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
          > res://C:\WINDOWS\system32\tkkls.dll/sp.html#96676
          > R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
          > res://C:\WINDOWS\system32\tkkls.dll/sp.html#96676
          > R3 - Default URLSearchHook is missing
          > F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe,
          > O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} -
          > C:\WINDOWS\twaintec.dll (file missing)
          > O2 - BHO: (no name) - {10A94D7C-72AD-A449-0850-B29FF9D9B30B} -
          > C:\WINDOWS\system32\netpo.dll
          > O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
          > atboottime
          > O4 - HKLM\..\Run: [d3of.exe] C:\WINDOWS\d3of.exe
          > O4 - HKLM\..\Run: [ztzyxqcryobx] C:\WINDOWS\System32\hjgqzs.exe
          > O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
          > O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe

          Tego co poniżej pewny nie jestem :

          > R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
          > red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr/*www.yahoo.com
          > O4 - HKLM\..\Run: [Alice] C:\Program Files\Wireless 11Mbps Network\XPFix.exe
          > O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
          > public.windupdates.com/get_file.php?
          bt=ie&p=49e422e7968751004a7c475f91f16bf5704ecd078aae7d3982a3508206fdc37f677f5429
          > ee732a811e3c55f70527c293f863e8:8b5b4fff0cd3ceb2d022384e480b9c0d


          Po usunięciu przeskanuj jeszcze system Ad-aware , który
          znajduje i likwiduje różne "paskudztwa" .

          download.com.com/3000-2144-10045910.html?part=69274&subj=dlpage&tag=buton
          dobreprogramy.pl/index.php?dz=2&t=39&id=151&t=39

          Przed pierwszym użyciem ustaw Ad-aware w sposób pokazany tutaj :

          ralphcaddell.com/pchelp/Ad-aware%20instructions.htm

          1. Ściągnij , zainstaluj , uruchom .
          2. "sprawdż uaktualnienie"
          3. "połącz"
          4. po wczytaniu ewentualnych aktualizacji "zakończ"
          5. "uruchom"
          6. "dalej"
          7. po skanowaniu "zakończ" , lub "dalej" jeżeli program coś
          znajdzie .
          8. zaznacz znalezione "pozycje"
          9. "dalej"
          10.program spyta , czy usunąć zaznaczone obiekty - "tak" .


          Czy Norton którego posiadasz jest zaktualizowany i "działający" , jeżeli nie
          to :


          Zainstaluj program antywirusowy do domowego użytku AVAST4 Home.
          Jest to bezpłatny program antywirusowy po polsku.

          Wersję polską możesz ściągnąć stąd :

          www.avast.com/i_idt_1016.html

          Przed instalacją zarejestruj się tu :

          www.avast.com/i_kat_207.php?lang=ENG

          Dzięki rejestracji otrzymasz mailem klucz rejestracyjny,
          który umożliwi przez rok bezpłatną aktualizacje bazy wirusów.


          Przeskanuj nim system , ewentualnie zaktualizowanym Nortonem .


          Na zakończenie włącz przywracanie systemu .


          Pozdrawiam .
    • marki Re: Wredy wirus Bloodhound Packed. 06.07.04, 16:02
      Już jestem.
      Taki mam wpis
      Logfile of HijackThis v1.97.7
      Scan saved at 15:56:21, on 2004-07-06
      Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
      C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Norton AntiVirus\navapsvc.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Common Files\Symantec Shared\ccApp.exe
      C:\WINDOWS\sm56hlpr.exe
      C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
      C:\Program Files\InkSaver\InkSaver.exe
      C:\Program Files\D-Tools\daemon.exe
      C:\Program Files\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
      C:\WINDOWS\System32\ctfmon.exe
      C:\Program Files\Gadu-Gadu\gg.exe
      C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
      C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
      C:\Program Files\Interlicznik\Interlicznik.exe
      C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
      C:\Program Files\Norton AntiVirus\SAVScan.exe
      C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
      G:\Nowy folder\HijackThis.exe
      C:\Program Files\Messenger\msmsgs.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
      www.wp.pl/
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
      O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program
      Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program
      Files\Norton AntiVirus\NavShExt.dll
      O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1
      \STARDO~1\SDIEInt.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
      C:\WINDOWS\System32\msdxm.ocx
      O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
      C:\Program Files\Norton AntiVirus\NavShExt.dll
      O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
      Shared\ccApp.exe"
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
      O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32
      \spool\DRIVERS\W32X86\3\fpdisp5a.exe
      O4 - HKLM\..\Run: [InkSaver] C:\Program Files\InkSaver\InkSaver.exe hide
      O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -
      lang 1033
      O4 - HKLM\..\Run: [FineReader7NewsReaderPro] C:\Program Files\ABBYY FineReader
      7.0 Professional Edition\AbbyyNewsReader.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
      O4 - Startup: Interlicznik.lnk = C:\Program Files\Interlicznik\Interlicznik.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
      Office\Office10\OSA.EXE
      O4 - Global Startup: hpoddt01.exe.lnk = ?
      O4 - Global Startup: hp psc 1000 series.lnk = ?
      O8 - Extra context menu item: Download with Star Downloader - C:\Program
      Files\Star Downloader\sdie.htm
      O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
      res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
      O9 - Extra button: Messenger (HKLM)
      O9 - Extra 'Tools' menuitem: Messenger (HKLM)
      O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
      www.pandasoftware.com/activescan/as5/asinst.cab
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
      download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
      O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
      skaner.mks.com.pl/SkanerOnline.cab
      Marki
      • netsec Re: Wredy wirus Bloodhound Packed. 06.07.04, 18:10
        marki napisał:

        > Już jestem.
        > Taki mam wpis
        > Logfile of HijackThis v1.97.7
        > Scan saved at 15:56:21, on 2004-07-06
        > Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
        > MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

        Na pocżątek zaktualizuj Nortona aktualizacją off-line
        securityresponse.symantec.com/avcenter/download/us-files/20040705-037-i32.exe
        Wyłącz przywracanie systemu i przeskanuj dyski zaktualizowanym Nortonem.

        Gdzie i jaki program wykrył Bloodhound Packed.
          • netsec Re: Wredy wirus Bloodhound Packed. 06.07.04, 19:05
            Gość portalu: marki napisał(a):

            > Pokazał takie alarmy o zagrożeniu Norton.
            > Z opisem przy nich "Brak dostępu" oraz "Nie można naprawić"

            Wykonaj to co napisałem wcześniej, z tym że dodatkowo przed skanowaniem uruchom
            komputer w trybie awaryjnym.
          • wwwandal1 Re: Wredy wirus Bloodhound Packed. 05.08.04, 21:04
            Sorry (też do Netsec-a) zauważyłem po kilku mi-cach pobytu na tym forum,że
            większość(statystyczna) ludzi z problemami,którzy tu potrzebują pomocy to
            użytkownicy Nortona.Naprawde -wybaczcie nie pisz tego złośliwie (poważnie)..ale
            po ch,,,j mi antyvirus,który nie potrafi usunąć z systemu virusa....
            Wiem,że to się zdarza wszystkim antyvirom ale norton chyba chce zarobić na
            wpisie do księgi Guinessa..
            pozdrawiam
    • Gość: izka74 Re: Wredy wirus Bloodhound Packed.-pomóżcie IP: *.neoplus.adsl.tpnet.pl 09.08.04, 21:22
      Prosze o pomoc. Mam tego "wrednego" oraz Trojan.Downloader.Feat i
      Trojan.Downloader.Vawk
      Tak jak poprzednicy zeskanowałam programem HijackThis i dalej nie wiem co
      robić.
      Oto co mi wyszło
      Logfile of HijackThis v1.97.7
      Scan saved at 21:14:34, on 2004-08-09
      Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
      C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
      C:\Program Files\Norton AntiVirus\navapsvc.exe
      C:\WINDOWS\System32\nvsvc32.exe
      C:\WINDOWS\sdkka.exe
      C:\Program Files\Norton AntiVirus\SAVScan.exe
      C:\WINDOWS\System32\snmp.exe
      C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
      C:\Program Files\EPOX\USDM\USDM.EXE
      C:\Program Files\Winamp\Winampa.exe
      C:\Program Files\Common Files\Symantec Shared\ccApp.exe
      C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
      C:\WINDOWS\javatd32.exe
      C:\Program Files\Common Files\ACD Systems\EN\DevDetect.exe
      C:\WINDOWS\SOUNDMAN.EXE
      C:\Program Files\Messenger\msmsgs.exe
      C:\Program Files\Gadu-Gadu\gg.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Documents and Settings\Izka\Pulpit\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
      res://C:\WINDOWS\system32\uanbr.dll/sp.html#96676
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
      res://C:\WINDOWS\system32\uanbr.dll/sp.html#96676
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
      res://C:\WINDOWS\system32\uanbr.dll/index.html#96676
      R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
      res://C:\WINDOWS\system32\uanbr.dll/sp.html#96676
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
      res://C:\WINDOWS\system32\uanbr.dll/index.html#96676
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
      res://C:\WINDOWS\system32\uanbr.dll/sp.html#96676
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
      res://C:\WINDOWS\system32\uanbr.dll/sp.html#96676
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
      res://C:\WINDOWS\system32\uanbr.dll/index.html#96676
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
      res://C:\WINDOWS\system32\uanbr.dll/sp.html#96676
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
      res://C:\WINDOWS\system32\uanbr.dll/sp.html#96676
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
      O2 - BHO: (no name) - {79FD56CD-F71C-8707-D1BA-6FBF7592786B} -
      C:\WINDOWS\system32\ipnk.dll
      O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program
      Files\Norton AntiVirus\NavShExt.dll
      O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
      C:\Program Files\Norton AntiVirus\NavShExt.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
      C:\WINDOWS\System32\msdxm.ocx
      O4 - HKLM\..\Run: [EPoXUSDM] "C:\Program Files\EPOX\USDM\USDM.EXE" "5000"
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
      \NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
      O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
      Shared\ccApp.exe"
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04
      \bin\jusched.exe
      O4 - HKLM\..\Run: [javatd32.exe] C:\WINDOWS\javatd32.exe
      O4 - HKLM\..\Run: [Device Detector] "C:\Program Files\Common Files\ACD
      Systems\EN\DevDetect.exe" -autorun
      O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
      O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common
      Files\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
      Office\Office10\OSA.EXE
      O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
      res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
      O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
      O9 - Extra button: Related (HKLM)
      O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
      O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation
      Engine) - office.microsoft.com/officeupdate/content/opuc.cab
      O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
      www.pandasoftware.com/activescan/as5/asinst.cab
      O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) -
      v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38206.9346064815
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
      download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
      O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
      skaner.mks.com.pl/SkanerOnline.cab
        • Gość: izka74 log do sprawdzenia IP: *.neoplus.adsl.tpnet.pl 11.08.04, 21:01
          z góry dziękuje za pomoc

          Logfile of HijackThis v1.98.2
          Scan saved at 21:01:21, on 2004-08-11
          Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
          MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

          Running processes:
          C:\WINDOWS\System32\smss.exe
          C:\WINDOWS\system32\winlogon.exe
          C:\WINDOWS\system32\services.exe
          C:\WINDOWS\system32\lsass.exe
          C:\WINDOWS\system32\svchost.exe
          C:\WINDOWS\System32\svchost.exe
          C:\WINDOWS\system32\spoolsv.exe
          C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
          C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
          C:\Program Files\Norton AntiVirus\navapsvc.exe
          C:\WINDOWS\System32\nvsvc32.exe
          C:\WINDOWS\sdkka.exe
          C:\Program Files\Norton AntiVirus\SAVScan.exe
          C:\WINDOWS\System32\snmp.exe
          C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
          C:\Program Files\EPOX\USDM\USDM.EXE
          C:\Program Files\Winamp\Winampa.exe
          C:\Program Files\Common Files\Symantec Shared\ccApp.exe
          C:\Program Files\Common Files\ACD Systems\EN\DevDetect.exe
          C:\WINDOWS\SOUNDMAN.EXE
          C:\Program Files\Messenger\msmsgs.exe
          C:\Program Files\Gadu-Gadu\gg.exe
          C:\WINDOWS\System32\svchost.exe
          C:\WINDOWS\javatd32.exe
          C:\WINDOWS\explorer.exe
          C:\WINDOWS\winhlp32.exe
          C:\Program Files\Internet Explorer\iexplore.exe
          C:\Program Files\Common Files\Symantec Shared\NMain.exe
          C:\Program Files\Norton AntiVirus\QConsole.exe
          C:\Program Files\Internet Explorer\iexplore.exe
          C:\Program Files\WinRAR\WinRAR.exe
          C:\DOCUME~1\Izka\USTAWI~1\Temp\Rar$EX01.218\HijackThis.exe

          R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
          res://C:\WINDOWS\system32\hdlfd.dll/sp.html#96676
          R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
          res://C:\WINDOWS\system32\hdlfd.dll/sp.html#96676
          R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
          res://C:\WINDOWS\system32\hdlfd.dll/index.html#96676
          R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
          res://C:\WINDOWS\system32\hdlfd.dll/index.html#96676
          R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
          res://C:\WINDOWS\system32\hdlfd.dll/sp.html#96676
          R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
          res://C:\WINDOWS\system32\hdlfd.dll/sp.html#96676
          R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
          res://C:\WINDOWS\system32\hdlfd.dll/sp.html#96676
          R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
          res://C:\WINDOWS\system32\hdlfd.dll/index.html#96676
          R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
          res://C:\WINDOWS\system32\hdlfd.dll/sp.html#96676
          R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
          res://C:\WINDOWS\system32\hdlfd.dll/sp.html#96676
          R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
          R3 - Default URLSearchHook is missing
          O2 - BHO: (no name) - {1760E281-B7CE-24A2-166B-0B9F9BB7B8A9} -
          C:\WINDOWS\system32\netpc32.dll
          O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
          C:\Program Files\Norton AntiVirus\NavShExt.dll
          O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
          C:\WINDOWS\System32\msdxm.ocx
          O4 - HKLM\..\Run: [EPoXUSDM] "C:\Program Files\EPOX\USDM\USDM.EXE" "5000"
          O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
          \NvCpl.dll,NvStartup
          O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
          O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
          O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
          Shared\ccApp.exe"
          O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
          O4 - HKLM\..\Run: [Device Detector] "C:\Program Files\Common Files\ACD
          Systems\EN\DevDetect.exe" -autorun
          O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
          O4 - HKLM\..\Run: [javatd32.exe] C:\WINDOWS\javatd32.exe
          O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
          O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
          O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common
          Files\Adobe\Calibration\Adobe Gamma Loader.exe
          O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
          Office\Office10\OSA.EXE
          O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
          O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
          res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
          O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no
          file)
          O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
          00401C608501} - (no file)
          O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
          www.pandasoftware.com/activescan/as5/asinst.cab
          O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
          skaner.mks.com.pl/SkanerOnline.cab
          • kalinowski11 Re: log do sprawdzenia 11.08.04, 21:43
            Gość portalu: izka74 napisał(a):


            > Logfile of HijackThis v1.98.2
            > Scan saved at 21:01:21, on 2004-08-11
            > Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
            > MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


            Witam , spróbujemy .

            O ile dobrze pamiętam systemowego ogniomurka włączyłaś .

            Potem zajrzyj tutaj , tak na wszelki wypadek :)

            www.windowsupdate.com/

            Wyłącz przywracanie systemu :

            support.microsoft.com/default.aspx?scid=kb;pl;310405

            Otwórz "Panel Sterowania" i w "Opcjach Internetowych" "Usuń pliki cookie" oraz
            "usuń pliki..." zaznaczając "Usuń całą zawartość offline" .

            Usuń następujące pozycje za pomocą hijacka :

            > R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
            > res://C:\WINDOWS\system32\hdlfd.dll/sp.html#96676
            > R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
            > res://C:\WINDOWS\system32\hdlfd.dll/sp.html#96676
            > R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
            > res://C:\WINDOWS\system32\hdlfd.dll/index.html#96676
            > R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
            > res://C:\WINDOWS\system32\hdlfd.dll/index.html#96676
            > R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
            > res://C:\WINDOWS\system32\hdlfd.dll/sp.html#96676
            > R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
            > res://C:\WINDOWS\system32\hdlfd.dll/sp.html#96676
            > R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
            > res://C:\WINDOWS\system32\hdlfd.dll/sp.html#96676
            > R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
            > res://C:\WINDOWS\system32\hdlfd.dll/index.html#96676
            > R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
            > res://C:\WINDOWS\system32\hdlfd.dll/sp.html#96676
            > R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
            > res://C:\WINDOWS\system32\hdlfd.dll/sp.html#96676
            > R3 - Default URLSearchHook is missing
            > O2 - BHO: (no name) - {1760E281-B7CE-24A2-166B-0B9F9BB7B8A9} -
            > C:\WINDOWS\system32\netpc32.dll
            > O4 - HKLM\..\Run: [javatd32.exe] C:\WINDOWS\javatd32.exe
            > O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no
            > file)
            > O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
            > 00401C608501} - (no file)

            Tego pewien nie jestem bo to może być też "dobry wpis" , masz uruchomione
            jakieś programy zabezpieczające dostęp do opcji internetowych ?

            > O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

            Po usunięciu przeskanuj jeszcze system Ad-aware :

            download.com.com/3000-2144-10045910.html?part=69274&subj=dlpage&tag=buton

            Czy Norton którego używasz jest w pełni sprawny , tzn. czy możesz go
            uaktualniać ? Jeżeli nie to zainstaluj program antywirusowy do domowego użytku :

            AVAST4 Home.

            Jest to bezpłatny program antywirusowy po polsku.

            Wersję polską możesz ściągnąć stąd :

            www.avast.com/i_idt_1016.html

            Przed instalacją zarejestruj się tu :

            www.avast.com/i_kat_207.php?lang=ENG

            Dzięki rejestracji otrzymasz mailem klucz rejestracyjny,
            który umożliwi przez rok bezpłatną aktualizacje bazy wirusów.

            Na zakończenie włącz przywracanie systemu .

            Pozdrawiam .
            • Gość: Mak[a]ron Re: log do sprawdzenia IP: *.wroclaw.dialog.net.pl 17.08.04, 15:32
              Prosze pomuzcie tez mi ! cholera nie potrafie tego bloodhound.packed usunac : (
              Oto moj log :

              Logfile of HijackThis v1.97.7
              Scan saved at 15:29:24, on 2004-08-17
              Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
              MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

              Running processes:
              C:\WINDOWS\System32\smss.exe
              C:\WINDOWS\system32\winlogon.exe
              C:\WINDOWS\system32\services.exe
              C:\WINDOWS\system32\lsass.exe
              C:\WINDOWS\system32\svchost.exe
              C:\WINDOWS\System32\svchost.exe
              C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
              C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
              C:\WINDOWS\system32\spoolsv.exe
              C:\WINDOWS\Explorer.EXE
              C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE
              C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
              C:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe
              C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
              C:\WINDOWS\System32\nvsvc32.exe
              C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
              C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
              C:\WINDOWS\system32\msnw32.exe
              C:\Program Files\Samsung Multimedia Keyboard\MMKBD.EXE
              C:\Program Files\PWN\Definicje\Bin\Starter.exe
              E:\tools\WINAMP\WINAMPA.EXE
              C:\Program Files\Common Files\Symantec Shared\ccApp.exe
              C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
              C:\Program Files\Logitech\MouseWare\system\em_exec.exe
              C:\Program Files\Norton SystemWorks\Password Manager\AcctMgr.exe
              C:\WINDOWS\System32\rundll32.exe
              C:\Program Files\QuickTime\qttask.exe
              C:\WINDOWS\winbc.exe
              C:\WINDOWS\System32\ctfmon.exe
              C:\Program Files\Messenger\msmsgs.exe
              C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
              C:\WINDOWS\System32\RUNDLL32.EXE
              C:\Program Files\Gadu-Gadu\gg.exe
              C:\Program Files\Internet Explorer\IEXPLORE.EXE
              C:\Program Files\Internet Explorer\IEXPLORE.EXE
              C:\Program Files\totalcmd\TOTALCMD.EXE
              E:\tools\WINAMP\WINAMP.EXE
              C:\Program Files\Internet Explorer\IEXPLORE.EXE
              C:\Program Files\TopazChat\TopazChat.exe
              C:\Documents and Settings\Makaron\Moje dokumenty\SCIAGANE\replaye\nw\rozne\22
              \HijackThis.exe

              R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL =
              http://in.webcounter.cc/--/?bzbjr (obfuscated)
              R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL =
              C:\WINDOWS\system32\searchbar.html
              R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
              res://C:\WINDOWS\system32\litwv.dll/sp.html#96676
              R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
              res://C:\WINDOWS\system32\litwv.dll/sp.html#96676
              R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
              http://in.webcounter.cc/-/?bzbjr (obfuscated)
              R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
              http://in.webcounter.cc/--/?bzbjr (obfuscated)
              R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
              res://C:\WINDOWS\system32\litwv.dll/sp.html#96676
              R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
              http://in.webcounter.cc/--/?bzbjr (obfuscated)
              R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
              res://C:\WINDOWS\system32\litwv.dll/sp.html#96676
              R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
              res://C:\WINDOWS\system32\litwv.dll/sp.html#96676
              R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
              about:blank
              R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
              res://C:\WINDOWS\system32\litwv.dll/sp.html#96676
              R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
              res://C:\WINDOWS\system32\litwv.dll/sp.html#96676
              R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://my-
              find.com/index.htm
              R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak =
              http://in.webcounter.cc/-/?bzbjr
              about:blank (obfuscated)
              R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
              R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
              R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = iexplore
              R1 - HKCU\Software\Microsoft\Internet Explorer,Search =
              http://in.webcounter.cc/--/?bzbjr (obfuscated)
              R1 - HKLM\Software\Microsoft\Internet Explorer,Search =
              http://in.webcounter.cc/--/?bzbjr (obfuscated)
              R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant =
              C:\WINDOWS\system32\searchbar.html
              O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program
              Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
              O2 - BHO: (no name) - {884E6B25-AD0F-BCD3-7EE3-FDF787A03978} -
              C:\WINDOWS\addtq.dll
              O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program
              Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
              O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
              C:\WINDOWS\System32\msdxm.ocx
              O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
              C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
              O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
              \NvCpl.dll,NvStartup
              O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
              O4 - HKLM\..\Run: [Multimedia Keyboard] "C:\Program Files\Samsung Multimedia
              Keyboard\MMKBD.EXE"
              O4 - HKLM\..\Run: [DemonStarter] C:\Program Files\PWN\Definicje\Bin\Starter.exe
              O4 - HKLM\..\Run: [Logitech Utility] C:\WINDOWS\system32\ReinstallBackups\0006
              \DriverFiles\Logi_MwX.Exe
              O4 - HKLM\..\Run: [WinampAgent] E:\tools\WINAMP\WINAMPA.EXE
              O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
              Shared\ccApp.exe"
              O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton
              SystemWorks\Norton Ghost\GhostStartTrayApp.exe
              O4 - HKLM\..\Run: [AcctMgr] C:\Program Files\Norton SystemWorks\Password
              Manager\AcctMgr.exe /startup
              O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1
              \NEWDOT~2.DLL,NewDotNetStartup -s
              O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
              atboottime
              O4 - HKLM\..\Run: [atlnv.exe] C:\WINDOWS\system32\atlnv.exe
              O4 - HKLM\..\Run: [d3rj.exe] C:\WINDOWS\system32\d3rj.exe
              O4 - HKLM\..\Run: [winbc.exe] C:\WINDOWS\winbc.exe
              O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
              O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
              O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480
              \Program\BackWeb-8876480.exe
              O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32
              \NVMCTRAY.DLL,NvTaskbarInit
              O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
              O4 - HKCU\..\Run: [sp] C:\sp.exe
              O4 - HKLM\..\RunOnce: [msnw32.exe] C:\WINDOWS\system32\msnw32.exe
              O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
              Office\Office10\OSA.EXE
              O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program
              Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
              O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
              res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
              O9 - Extra button: Related (HKLM)
              O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
              O10 - Hijacked Internet access by New.Net
              O10 - Hijacked Internet access by New.Net
              O10 - Hijacked Internet access by New.Net
              O10 - Hijacked Internet access by New.Net
              O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
              O16 - DPF: komentator - http://info.onet.pl/komentator.cab
              O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} -
              http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab
              O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) -
              http://www.apple.com/qtactivex/qtplugin.cab
              O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program
              Files\Internet Explorer\zhexwqdn.exe
              O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) -
              http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
              O16 - DPF: {1D67
              • netsec Re: log do sprawdzenia 17.08.04, 20:34
                Gość portalu: Mak[a]ron napisał(a):

                > Prosze pomuzcie tez mi ! cholera nie potrafie tego bloodhound.packed usunac :
                (
                > Oto moj log :
                >
                > Logfile of HijackThis v1.97.7
                > Scan saved at 15:29:24, on 2004-08-17
                > Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
                > MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

                Zaktualizuj Nortona aktualizacja offline:
                securityresponse.symantec.com/avcenter/download/us-files/20040816-032-i32.exe

                Wyłącz przywracanie systemu.

                Uruchom komputer w trybie awaryjnym.

                Wykonaj pełne skanowanie Nortonem.

                Usuń w Opcjach Internetowych Tymczasowe pliki Internetowe.

                --
                Net
                • Gość: Żaku Re: log do sprawdzenia IP: *.internetdsl.tpnet.pl / *.internetdsl.tpnet.pl 13.01.05, 18:56
                  Logfile of HijackThis v1.97.7
                  Scan saved at 18:55:42, on 2005-01-13
                  Platform: Windows XP (WinNT 5.01.2600)
                  MSIE: Internet Explorer v6.00 (6.00.2600.0000)

                  Running processes:
                  C:\WINDOWS\System32\smss.exe
                  C:\WINDOWS\system32\winlogon.ex e
                  C:\WINDOWS\system32\services.ex e
                  C:\WINDOWS\system32\lsass.exe
                  C:\WINDOWS\system32\svchost.exe
                  C:\WINDOWS\System32\svchost.exe
                  C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
                  C:\WINDOWS\Explorer.EXE
                  C:\WINDOWS\system32\spoolsv.exe
                  C:\Program Files\Norton AntiVirus\navapsvc.exe
                  C:\Program Files\Internet Explorer\IEXPLORE.EXE
                  D:\Instaliki\CWShredder\HijackT his.exe

                  O9 - Extra button: Related (HKLM)
                  O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
                  O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553 540000} (Shockwave Flash Object) -
                  download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
                  pomocy

Popularne wątki

Nie pamiętasz hasła

lub ?

 

Nie masz jeszcze konta? Zarejestruj się

Nakarm Pajacyka