Log z HijackThis

IP: *.gw-cegielniana.lama.net.pl 16.10.04, 20:07
Mam jakieś świństwo, które zmienia mi strony startowe. Próbowałam juz
wszystkiego: mam na bieżąco uaktualniany system (zresztą dopiero co po
przeinstalowaniu), SP2, Dwa programy antywirusowe w tym jeden polecany przez
Was (avast), CWShredder, SpybootSearch, Spyware Blaster i AdAware w wersji
1.5. Wszystko to łącznie z hijackthisem znajduje te syfy i usuwa a następnie
one pojawiają się znowu. Skanowałam kompa w trybie awaryjnym po wyłączeniu
przywracania systemu. Też nie pomogło. Walczę z tym juz tydzień i krew mnie
zalewa.
oto mój log z hijackthisa:
Logfile of HijackThis v1.97.7
Scan saved at 19:58:20, on 2004-10-16
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
D:\Program Files\Gadu-Gadu\gg.exe
D:\Program Files\Office\OSA.EXE
D:\Program Files\Office\FINDFAST.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\instalki\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
www.heretofind.com/show.php?id=103&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
mk:@MSITStore:C:\spe\start.chm::/start.html#
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
www.heretofind.com/show.php?id=103&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
your-searcher.com/sp.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program
Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Program
Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda
Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus
Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32
\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] D:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - Global Startup: Uruchamianie pakietu Office.lnk = D:\Program
Files\Office\OSA.EXE
O4 - Global Startup: Microsoft Find Fast.lnk = D:\Program
Files\Office\FINDFAST.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Corel Network monitor worker (HKLM)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O13 - DefaultPrefix: www.heretofind.com/show.php?id=103&q=
O13 - WWW Prefix: www.heretofind.com/show.php?id=103&q=
O13 - Home Prefix: www.heretofind.com/show.php?id=103&q=
O13 - Mosaic Prefix: www.heretofind.com/show.php?id=103&q=
O13 - Gopher Prefix: www.heretofind.com/show.php?id=103&q=
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097350853529
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Jest jakaś rada czy mam wołać informatyka i sformatować dysk?
    • Gość: piecyk gazowy Re: Log z HijackThis IP: *.tpnet.pl / *.tpnet.pl 16.10.04, 20:18
      Do wywalenia:

      > R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
      > www.heretofind.com/show.php?id=103&q=%s
      > R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
      > mk:@MSITStore:C:\spe\start.chm::/start.html#
      > R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
      > mk:@MSITStore:C:\spe\start.chm::/start.html#
      > R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
      > www.heretofind.com/show.php?id=103&q=%s
      > R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
      > your-searcher.com/sp.htm

      > O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

      > O13 - DefaultPrefix: www.heretofind.com/show.php?id=103&q=
      > O13 - WWW Prefix: www.heretofind.com/show.php?id=103&q=
      > O13 - Home Prefix: www.heretofind.com/show.php?id=103&q=
      > O13 - Mosaic Prefix: www.heretofind.com/show.php?id=103&q=
      > O13 - Gopher Prefix: www.heretofind.com/show.php?id=103&q=
      • Gość: MKatarynka Re: Log z HijackThis IP: *.gw-cegielniana.lama.net.pl 16.10.04, 22:45
        Niestety, nie pomogło!
        Może ja coś źle robię:
        zaznaczam poszczególne pozycje a potem daję mu fiź checked, potwierdzam, że ma
        być ich 11 i wyłączam program a następnie uruchamiam komputer ponownie. Po
        uruchomieniu włączam znowu hijacthis i... mam to samo co przedtem a na stronie
        startowej wciąż pornosy...

        Jakieś sugestie?

        • Gość: piecyk gazowy Re: Log z HijackThis IP: *.tpnet.pl / *.tpnet.pl 16.10.04, 22:51
          Dobrze robisz. Spróbuj wykonać to w trybie awaryjnym.

          Spróbuj jeszcze wyszukać w rejestrze taki ciąg (nie jestem pewien czy on tam
          będzie):
          %68%74%74%70%3A%2F%2F%77%77%77%2E%68%65%72%65%74%6F%66%69%6E%64%2E%63%6F%6D%2F%
          73%68%6F%77%2E%70%68%70%3F%69%64%3D%31%30%33%26%71%3D

          Rejestr uruchamiasz: Start -> Uruchom - regedit i wciskasz OK.

          Wyszkujesz: Ctrl + F.
          • mkatarynka Re: Log z HijackThis 17.10.04, 14:35
            Gość portalu: piecyk gazowy napisał(a):

            > Dobrze robisz. Spróbuj wykonać to w trybie awaryjnym.

            Zrobiłam tak: Najpierw po uruchomieniu przeglądarki wlazłam na stronę zagety i
            ustawiłam ją jako startową. Potem pousuwałam wszystkie cookies i pliki
            tymczasowe a także oczyściłam historię. Potem zamknęłam przeglądarkę i
            uruchowmiłam komputer ponownie w trybie awaryjnym. Zobiłam scana hijactthisem,
            usunęłam świństwa, dla pewności przeskanowałam jeszcze raz - świństw nie było.
            Przeszłam do trybu normalnego. Po włączeniu przeglądarki włączyła mi się strona
            about blank (przypominam, że startową ustawiłam na gazetę), kij, myślę, może
            być. Ale, niestety po ponownym uruchomieniu przeglądarki z ekranu popatrzyły na
            mnie jakże mi znane panie z gołymi..... Na razie załatwiłam je ustawiając sobie
            barierę (czy jak to sie tam nazywa) na pormnosy ale to nie załatwia sprawy...
            Co mam robić?

            > Spróbuj jeszcze wyszukać w rejestrze taki ciąg (nie jestem pewien czy on tam
            > będzie):
            > %68%74%74%70%3A%2F%2F%77%77%77%2E%68%65%72%65%74%6F%66%69%6E%64%2E%63%6F%6D%
            2F%
            > 73%68%6F%77%2E%70%68%70%3F%69%64%3D%31%30%33%26%71%3D
            >
            > Rejestr uruchamiasz: Start -> Uruchom - regedit i wciskasz OK.
            >
            > Wyszkujesz: Ctrl + F.
            • Gość: MKatarynka Re: Log z HijackThis IP: *.gw-cegielniana.lama.net.pl 17.10.04, 19:08
              > Spróbuj jeszcze wyszukać w rejestrze taki ciąg (nie jestem pewien czy on tam
              > będzie):
              > %68%74%74%70%3A%2F%2F%77%77%77%2E%68%65%72%65%74%6F%66%69%6E%64%2E%63%6F%6D%
              2F%
              > 73%68%6F%77%2E%70%68%70%3F%69%64%3D%31%30%33%26%71%3D
              >
              > Rejestr uruchamiasz: Start -> Uruchom - regedit i wciskasz OK.
              >
              > Wyszkujesz: Ctrl + F.

              Tak zrobiłam - nie ma!

              MKatarynka
    • Gość: piecyk gazowy PS IP: *.tpnet.pl / *.tpnet.pl 16.10.04, 20:19
      KONIECZNIE odinstaluj jednego antywirusa.
    • netsec Re: Log z HijackThis 16.10.04, 23:14
      Wykonaj nowego loga najnowsza wersją HiJackThis 1.98.2.
      • mkatarynka Re: Log z HijackThis najnowszego 17.10.04, 14:27
        służę uprzejmie
        Logfile of HijackThis v1.98.2
        Scan saved at 14:25:17, on 2004-10-17
        Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\system32\spoolsv.exe
        C:\WINDOWS\Explorer.EXE
        C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
        C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
        D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
        D:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
        C:\WINDOWS\system32\ctfmon.exe
        C:\Program Files\Messenger\msmsgs.exe
        D:\Program Files\Gadu-Gadu\gg.exe
        D:\Program Files\Office\OSA.EXE
        D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
        D:\Program Files\Alwil Software\Avast4\ashServ.exe
        C:\WINDOWS\System32\nvsvc32.exe
        C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
        C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
        C:\WINDOWS\System32\svchost.exe
        C:\Program Files\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
        C:\Program Files\Panda Software\Panda Antivirus Platinum\pavProxy.exe
        C:\WINDOWS\system32\devldr32.exe
        C:\Program Files\Outlook Express\msimn.exe
        C:\Program Files\Internet Explorer\iexplore.exe
        D:\instalki\HijackThis.exe

        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
        www.heretofind.com/show.php?id=103&q=%s
        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
        mk:@MSITStore:C:\spe\start.chm::/start.html#
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
        www.heretofind.com/show.php?id=103&q=%s
        R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
        your-searcher.com/sp.htm
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
        O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
        D:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
        O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Program
        Files\Spybot - Search & Destroy\SDHelper.dll
        O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
        O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Antivirus
        Platinum\Inicio.exe"
        O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus
        Platinum\APVXDWIN.EXE" /s
        O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32
        \spool\drivers\w32x86\3\hpztsb05.exe
        O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
        O4 - HKLM\..\Run: [ashMaiSv] D:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
        O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
        O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
        O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Program Files\Gadu-Gadu\gg.exe" /tray
        O4 - Global Startup: Uruchamianie pakietu Office.lnk = D:\Program
        Files\Office\OSA.EXE
        O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no
        file)
        O9 - Extra button: Corel Network monitor worker - {404D16D6-1051-4244-858C-
        6D3BE416E282} - (no file)
        O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {404D16D6-1051-4244-
        858C-6D3BE416E282} - (no file)
        O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
        C:\Program Files\Messenger\msmsgs.exe
        O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
        00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
        O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
        v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097350853529

        I co?
        • netsec Re: Log z HijackThis najnowszego 17.10.04, 22:25
          Ściągnij CWShredder 1.59.1
          www.softpedia.com/public/cat/10/17/10-17-150.shtml
          Sprawdź czy masz włączoną zaporę Internetową we właściwościach Twojego
          połączenia do Internetu.

          Wyłącz przywracanie systemu:
          support.microsoft.com/default.aspx?scid=kb;pl;310405
          Uruchom komputer w trybie awaryjnym:
          support.microsoft.com/default.aspx?scid=KB;PL;315222
          Po uruchomieniu komputera w trybie awaryjnym, nie otwieraj Internet Explorera.

          Uruchom ponownie HiJackThis wykonaj SCAN i zaznacz (haczykiem) te pozycje:

          R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
          www.heretofind.com/show.php?id=103&q=%s
          R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
          mk:@MSITStore:C:\spe\start.chm::/start.html#
          R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
          www.heretofind.com/show.php?id=103&q=%s
          R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
          your-searcher.com/sp.htm
          O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Program
          Files\Spybot - Search & Destroy\SDHelper.dll
          O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no
          file)
          O9 - Extra button: Corel Network monitor worker - {404D16D6-1051-4244-858C-
          6D3BE416E282} - (no file)
          O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {404D16D6-1051-4244-
          858C-6D3BE416E282} - (no file)

          Po zaznaczeniu wykonaj FIX CHECKED i potwierdź TAK/OK.

          W Panel Sterowania =>Opcje Internetowe usuń
          Tymczasowe pliki Internetowe (Wszystkie) i Cooki.

          Odinstaluj w Panelu sterowania Dodaj/Usuń programy wszystkie
          programy, co do których nie masz pewności, że Ci są potrzebne.

          Uruchom CWShredder i wykonaj Fix.

          Uruchom komputer w normalnym trybie.

          Ściągnij i zainstaluj Ad-Aware SE Personal Edition v1.05
          Pobieranie najnowszej wersji:
          www.download.com/3000-2144-10045910.html
          Przeskanuj Ad-Aware cały system.
          W celu zapewnienia maksymalnej skuteczności programu,
          należy przed skanowaniem wykonać aktualizacje bazy wykrywania.
          W trakcie uruchamiania skanowania, należy w zakładce
          "Preparing System Scan" wybrać "Perform full system scan".
          Po zakończeniu skanowania pojawi się lista obiektów do
          usunięcia. Każdą z pozycji należy zaznaczyć(haczykiem) lub prawym klawiszem
          myszki można wybrać z menu kontekstowego "Select All Objects".
          Po zaznaczeniu wszystkich pozycji należy kliknąć Next, w ten sposób
          zaznaczone obiekty zostaną usunięte.

          Dodatkowo zainstaluj Jave Sun:
          java.sun.com/webapps/download/AutoDL?BundleId=9723
          Po wszystkim włącz przywracanie systemu i wklej nowy log z HiJackThis.
          • Gość: MKatarynka Re: Log z HijackThis najnowszego IP: *.gw-cegielniana.lama.net.pl 18.10.04, 11:04
            Zrobiłam wszystko z wyjątkiem zainstalowania Javy Sun bo nie mogę wejść na tę
            stronę.
            Wygląda na to, że podziałało!
            oto nowy log:
            Logfile of HijackThis v1.98.2
            Scan saved at 11:01:18, on 2004-10-18
            Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
            MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

            Running processes:
            C:\WINDOWS\System32\smss.exe
            C:\WINDOWS\system32\winlogon.exe
            C:\WINDOWS\system32\services.exe
            C:\WINDOWS\system32\lsass.exe
            C:\WINDOWS\system32\svchost.exe
            C:\WINDOWS\System32\svchost.exe
            C:\WINDOWS\system32\spoolsv.exe
            C:\WINDOWS\Explorer.EXE
            C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
            C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
            D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
            D:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
            C:\WINDOWS\system32\ctfmon.exe
            C:\Program Files\Messenger\msmsgs.exe
            D:\Program Files\Gadu-Gadu\gg.exe
            D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
            D:\Program Files\Office\OSA.EXE
            D:\Program Files\Alwil Software\Avast4\ashServ.exe
            C:\WINDOWS\System32\nvsvc32.exe
            C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
            C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
            C:\WINDOWS\System32\svchost.exe
            C:\Program Files\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
            C:\Program Files\Panda Software\Panda Antivirus Platinum\pavProxy.exe
            C:\WINDOWS\system32\devldr32.exe
            D:\instalki\HijackThis.exe

            R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
            R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
            O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
            D:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
            O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
            O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Antivirus
            Platinum\Inicio.exe"
            O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus
            Platinum\APVXDWIN.EXE" /s
            O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32
            \spool\drivers\w32x86\3\hpztsb05.exe
            O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
            O4 - HKLM\..\Run: [ashMaiSv] D:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
            O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
            O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
            O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Program Files\Gadu-Gadu\gg.exe" /tray
            O4 - Global Startup: Uruchamianie pakietu Office.lnk = D:\Program
            Files\Office\OSA.EXE
            O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
            C:\Program Files\Messenger\msmsgs.exe
            O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
            00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
            O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
            v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097350853529

            Netsec, jesteś wielki! Czy ktoś Ci to już mówił?

            MKatarynka
            • Gość: MKatarynka Re: jeszcze jedno pytanko IP: *.gw-cegielniana.lama.net.pl 18.10.04, 11:18
              Jeżeli na tym samym kompie jest kilka tożsamości to całą procedurę opisaną
              powyżej mam wykonac na każdej po kolei? Bo właśnie wlazłam na część (nie wiem
              jak się to nazywa, jak włączam Windowsa to pojawiają się trzy klikliwe ikonki -
              moja, chłopa i córki) mojego męża a tu w przeglądarce dalej jakiś serczer się
              panoszy!
              MKatarynka
              • mkatarynka Re: jeszcze jedno pytanko 18.10.04, 12:20
                oto log z części mojego męża:

                Logfile of HijackThis v1.98.2
                Scan saved at 12:14:42, on 2004-10-18
                Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
                MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

                Running processes:
                C:\WINDOWS\System32\smss.exe
                C:\WINDOWS\system32\winlogon.exe
                C:\WINDOWS\system32\services.exe
                C:\WINDOWS\system32\lsass.exe
                C:\WINDOWS\system32\svchost.exe
                C:\WINDOWS\System32\svchost.exe
                C:\WINDOWS\system32\spoolsv.exe
                D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
                D:\Program Files\Alwil Software\Avast4\ashServ.exe
                C:\WINDOWS\System32\nvsvc32.exe
                C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
                C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
                C:\WINDOWS\System32\svchost.exe
                C:\Program Files\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
                C:\WINDOWS\system32\winlogon.exe
                C:\WINDOWS\Explorer.EXE
                C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
                D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
                D:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
                C:\WINDOWS\system32\ctfmon.exe
                C:\Program Files\Messenger\msmsgs.exe
                D:\Program Files\Gadu-Gadu\gg.exe
                C:\Program Files\Internet Explorer\IEeng.exe
                D:\Program Files\Office\OSA.EXE
                D:\instalki\HijackThis.exe

                R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = your-
                searcher.com/sp.htm
                R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = your-
                searcher.com/index.htm
                R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
                R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
                your-searcher.com/sp.htm
                R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
                your-searcher.com/index.htm
                R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
                O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
                D:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
                O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
                O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Antivirus
                Platinum\Inicio.exe"
                O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus
                Platinum\APVXDWIN.EXE" /s
                O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32
                \spool\drivers\w32x86\3\hpztsb05.exe
                O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
                O4 - HKLM\..\Run: [ashMaiSv] D:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
                O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
                O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
                O4 - HKCU\..\Run: [Eaea] C:\Documents and Settings\artek\Dane aplikacji\ieca.exe
                O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Program Files\Gadu-Gadu\gg.exe" /tray
                O4 - HKCU\..\Run: [IEengine] C:\Program Files\Internet Explorer\IEeng.exe
                O4 - Global Startup: Uruchamianie pakietu Office.lnk = D:\Program
                Files\Office\OSA.EXE
                O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
                O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
                C:\Program Files\Messenger\msmsgs.exe
                O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
                00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
                O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no
                file) (HKCU)
                O9 - Extra button: Corel Network monitor worker - {404D16D6-1051-4244-858C-
                6D3BE416E282} - (no file) (HKCU)
                O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {404D16D6-1051-4244-
                858C-6D3BE416E282} - (no file) (HKCU)
                O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
                v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097350853529
                • netsec Re: jeszcze jedno pytanko 18.10.04, 13:21
                  Do usunięcia w HiJackThis:

                  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = your-
                  searcher.com/sp.htm
                  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = your-
                  searcher.com/index.htm
                  R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
                  your-searcher.com/sp.htm
                  R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
                  your-searcher.com/index.htm
                  O4 - HKCU\..\Run: [Eaea] C:\Documents and Settings\artek\Dane aplikacji\ieca.exe
                  O4 - HKCU\..\Run: [IEengine] C:\Program Files\Internet Explorer\IEeng.exe
                  O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
                  O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no
                  file) (HKCU)
                  O9 - Extra button: Corel Network monitor worker - {404D16D6-1051-4244-858C-
                  6D3BE416E282} - (no file) (HKCU)
                  O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {404D16D6-1051-4244-
                  858C-6D3BE416E282} - (no file) (HKCU)
              • netsec Re: jeszcze jedno pytanko 18.10.04, 13:18
                Dobrze będzie, jeśli zostanie to wykonane na wszystkich kontach w systemie.
                W przeciwnym razie problem wróci.
Pełna wersja