Bardzo proszę o pomoc :(

[Gość: Gosia]

Błagam,może ktoś potrafi mi pomóc:( Mam coś co nazywa sie drwtsn32.exe Siedzi
to w C:\windows\system32\ Ten plik "pożera" mi wolną pamięć partycji C
tworząc gigantyczny plik tekstowy (ostatnio wykasowałam taki właśnie plik o
rozmiarze 4 GB!!).Przy uruchomieniu komputera to coś zabiera 100% mocy
procesora i "rozmnaża się".Ręcznie nie mogę tego wykasować, plik powraca:(
Antywiry go nie widzą.Narazie jedynym ratunkiem jest uruchomienie tuż po
otworzeniu komputera Menedżera zadań i zatrzymanie procesu tego pliku.Wtedy
niby ok ale też czasami się włącza i zabawa zaczyna się od początku a mój
układ nerwowy już tego nie wytrzymuje:)Może wiecie jak usunąć go na
stałe.Będę baaardzo wdzięczna.Proszę napiszcie w miarę prostym językiem,żebym
się połapała o czym mówicie:) Z góry dziękuję.

[netsec]

forum.gazeta.pl/forum/72,2.html?f=23618&w=16127597&wv.x=1&a=16127597

[Gość: Gosia]

Dziękuję Ci bardzo za odzew:) Tylko teraz już naprawdę nie wiem co robic.Jeden
ze znajomych twierdzi,że ten "Watson" to nie wirus tylko narzędzie
diagnostyczne Win.Niby sie uruchamia gdy jakiś program nie odpowiada lub jest
uszkodzony.:(Nie wiem czy to ma jakiś związek ale od wczoraj po uruchomieniu
komputera pojawia sie informacja,że "wystąpił błąd podczas ładowania C:\Program
Fils\commonFils\eAcceleration\Installer\stopsinfo.dll , nie można odnależć
określonego modułu".Czy to 2 różne sprawy,nie związane ze sobą ?? czy efekt
działania jakiegoś syfa?? czy już wszystko mi się wali?? :(( Co ja mam robić??
Moje antywiry niczego nie widzą.Prosze napisz/napiszcie czy to w końcu wirus
czy nie wirus, czy kasować go czy nie, czy może jest jakaś inna przyczyna moich
problemów??

[Gość: Gosia]

Może mój Hijack coś wyjasni ??? Zerknij proszę jeśli możesz :)
Logfile of HijackThis v1.98.2
Scan saved at 21:19:06, on 2004-11-18
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HijackThis.exe
C:\Program Files\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
szukaj.wp.pl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.interia.pl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada
Plus wita Cie w Internecie
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program
Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program
Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [StopSignStatus] Rundll32.exe "C:\Program Files\Common
Files\eAcceleration\Installer\stopsinfo.dll",VerifyStatus
O4 - HKLM\..\Run: [webscan] C:\Program Files\Acceleration Software\Anti-
Virus\stopsignav.exe -k
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
Shared\ccApp.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec
Shared\Security Center\UsrPrmpt.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840
\dslmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {2119776A-F1AD-4FCD-9548-F1E1C615350C} - www.stop-
sign.com/pub/download/ss_tscanner.cab?n=s_gw_pl_infn_vir-
file&kw=gw_pl_drwtsn32.exe&pg=%26se_spin%26se046a%26ss_downloads%
26ss_downloads&ver=online&SV=se046a&dc=1
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093799608835
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D41EC93-7671-43FE-8515-C4E320ACA850}:
NameServer = 194.204.152.34 217.98.63.164
O17 - HKLM\System\CS1\Services\Tcpip\..\{2D41EC93-7671-43FE-8515-C4E320ACA850}:
NameServer = 194.204.152.34 217.98.63.164

[netsec]

Wklej raz jeszcze aktualny log z HiJack.

[Gość: Gosia]

Logfile of HijackThis v1.98.2
Scan saved at 10:15:52, on 2004-11-19
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\HijackThis.exe
C:\Program Files\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
szukaj.wp.pl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.interia.pl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada
Plus wita Cie w Internecie
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program
Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program
Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [StopSignStatus] Rundll32.exe "C:\Program Files\Common
Files\eAcceleration\Installer\stopsinfo.dll",VerifyStatus
O4 - HKLM\..\Run: [webscan] C:\Program Files\Acceleration Software\Anti-
Virus\stopsignav.exe -k
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
Shared\ccApp.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840
\dslmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2119776A-F1AD-4FCD-9548-F1E1C615350C} - www.stop-
sign.com/pub/download/ss_tscanner.cab?n=s_gw_pl_infn_vir-
file&kw=gw_pl_drwtsn32.exe&pg=%26se_spin%26se046a%26ss_downloads%
26ss_downloads&ver=online&SV=se046a&dc=1
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093799608835
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D41EC93-7671-43FE-8515-C4E320ACA850}:
NameServer = 194.204.152.34 217.98.63.164
O17 - HKLM\System\CS1\Services\Tcpip\..\{2D41EC93-7671-43FE-8515-C4E320ACA850}:
NameServer = 194.204.152.34 217.98.63.164

[netsec]

Uruchom ponownie HiJackThis wykonaj SCAN i zaznacz(haczykiem) te pozycje:

O4 - HKLM\..\Run: [StopSignStatus] Rundll32.exe "C:\Program Files\Common
Files\eAcceleration\Installer\stopsinfo.dll",VerifyStatus
O4 - HKLM\..\Run: [webscan] C:\Program Files\Acceleration Software\Anti-
Virus\stopsignav.exe -k
O16 - DPF: {2119776A-F1AD-4FCD-9548-F1E1C615350C} - www.stop-
sign.com/pub/download/ss_tscanner.cab?n=s_gw_pl_infn_vir-
file&kw=gw_pl_drwtsn32.exe&pg=%26se_spin%26se046a%26ss_downloads%
26ss_downloads&ver=online&SV=se046a&dc=1


Po zaznaczeniu wykonaj FIX CHECKED i potwierdź TAK/OK.

W Panel Sterowania => Opcje Internetowe usuń
Tymczasowe pliki Internetowe (Wszystkie) i Cooki.

Odinstaluj w Panelu sterowania Dodaj/Usuń programy wszystkie
programy, co do których nie masz pewności, że Ci są potrzebne.
Odinstaluj programy mające w nazwie eAcceleration i Stop-Sign.

Oczyść kosz.

Uruchom ponownie komputer i wklej nowy log z HiJack.
Dodatkowo wklej log z startuplist.
W tym celu uruchom ponownie HiJackThis przejdź do Config później do Misc Tools i
kliknij Generate StartupList log.
Program zapyta czy wygenerować listę, potwierdź a zawartość listy wklej na forum.

[Gość: Gosia]

Zrobię to wieczorkiem,bo musze gonić do pracy:( ale wielkie dzięki...powoli
przywracasz mi nadzieję,że wyjdę z tego syfu;)...bo do tej pory to tylko
słyszałam "trzeba formatować".Pozdrawiam:))

[netsec]

To własnie ten soft jest Twoim zamrtwieniem :)

[Gość: Gosia]

Logfile of HijackThis v1.98.2
Scan saved at 22:00:35, on 2004-11-19
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HijackThis.exe
C:\Program Files\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
szukaj.wp.pl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.interia.pl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada
Plus wita Cie w Internecie
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program
Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program
Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
Shared\ccApp.exe"
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840
\dslmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093799608835
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D41EC93-7671-43FE-8515-C4E320ACA850}:
NameServer = 194.204.152.34 217.98.63.164
O17 - HKLM\System\CS1\Services\Tcpip\..\{2D41EC93-7671-43FE-8515-C4E320ACA850}:
NameServer = 194.204.152.34 217.98.63.164

[Gość: Gosia]

Nie znalazłam żadnych programów z tymi nazwami o których mówiłeś:( Niestety
wolne miejsce na dysku C z 7GB sprzed 3 dni, zmniejszyło sie na 4GB...mam
nadzieję,że może teraz się to zatrzyma.

[netsec]

Zainstaluj mały program TreeSize V1.74:
www.jam-software.com/freeware/index.shtml
TreeSize umożliwi szybkie zorientować się, które foldery i pliki zabierają
najwięcej miejsca na dysku.

Przed użyciem TreeSize:
1. Uupewnij się, że opcja Pokaż wszystkie pliki w Eksploratorze Windows jest
włączona.

a. Kliknij przycisk Start, kliknij polecenie Mój komputer, kliknij menu
Narzędzia, a następnie kliknij polecenie Opcje folderów. Kliknij kartę
Widok.

b. W sekcji Ustawienia zaawansowane kliknij pozycję Pokaż ukryte pliki i foldery.

c. W sekcji Ustawienia zaawansowane kliknij, aby wyczyścić pole wyboru
Ukryj chronione pliki systemu operacyjnego (zalecane).

[Gość: Gosia]

Nie mogę zainstalować tego programu,pojawia się informacja,że pliki
instalacyjne są uszkodzone:((

StartupList

[Gość: Gosia]

StartupList report, 2004-11-19, 22:06:29
StartupList version: 1.52.2
Started from : C:\Program Files\HijackThis.EXE
Detected: Windows XP Dodatek SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Documents and Settings\All Users\Menu Start\Programy\Autostart]
DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\System32\Userinit.exe

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

NeroFilterCheck = C:\WINDOWS\system32\NeroCheck.exe
ccApp = "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll - {53707962-
6F74-2D53-2644-206D7942484F}
NAV Helper - C:\Program Files\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-
42AD-A544-FADC6B084872}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Norton AntiVirus - Scan my computer.job
Symantec NetDetect.job

--------------------------------------------------

Enumerating Download Program Files:

[WUWebControl Class]
InProcServer32 = C:\WINDOWS\System32\wuweb.dll
CODEBASE =
v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093799608835

[MainControl Class]
InProcServer32 = C:\WINDOWS\System32\SkanerOnline.dll
CODEBASE = skaner.mks.com.pl/SkanerOnline.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 4 398 bytes
Report generated in 0,071 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only
:)) Nawet nie wiem co wklejam i co wykasowuję:)) juz chyba w chińskim lepiej
bym się zorientowała :))....to jest chyba moje główne zmartwienie:)))Pozdrawiam.

[Gość: Gosia]

Netsec, jesteś wielki!!mówił Ci już to ktoś? :-) Nie mam już chyba tego
gada,pamięć na dysku c od wczoraj się nie zmieniła,procesor chodzi normalnie, a
ja nie widzę nigdzie tego "drwtsn32.exe".Super!Wielkie dzięki!! Tylko teraz
jeszcze pomóż mi proszę przywrócić tą wolną pamięć:(Nie mogę zainstalować
programu który mi podałeś,może jest jeszcze jakiś inny?Jak odnaleźć te trefne
pliki? I jeszcze idąc za ciosem:)-jak wcześniej wszystko zaczynało mi sie
walić, pojawił się również problem z moim fajerwallem(Sygate)-jakiś problem z
aplikacją i nie chciał się uruchamiać.Chciałam więc go wykasować i zainstalować
od początku ale..nie mogę:(W panelu sterowania Usuń/Dodaj przy próbie usuwania
pojawia się komunikat "błąd nr 0x80040702, failed to load dll:SetAid".Czy ma to
jakiś związek z moimi wcześniejszymi problemami, czy to już inna bajka??
Pozdrawiam i z góry dziękuję:)

[netsec]

Masz jeszcze coś, wklej ponownie aktualny log z HiJack i startuplist.
Firewall odinstaluj w trybie awaryjnym, wcześniej ściagnij jego najnowszą
wersje. I zainstaluj przy odłączonej sieci.

aktualny HiJack

[Gość: Gosia]

Logfile of HijackThis v1.98.2
Scan saved at 14:19:12, on 2004-11-20
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
szukaj.wp.pl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.interia.pl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada
Plus wita Cie w Internecie
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program
Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program
Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
Shared\ccApp.exe"
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840
\dslmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093799608835
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D41EC93-7671-43FE-8515-C4E320ACA850}:
NameServer = 194.204.152.34 217.98.63.164
O17 - HKLM\System\CS1\Services\Tcpip\..\{2D41EC93-7671-43FE-8515-C4E320ACA850}:
NameServer = 194.204.152.34 217.98.63.164

[Gość: Gosia]

StartupList report, 2004-11-20, 14:21:12
StartupList version: 1.52.2
Started from : C:\Program Files\HijackThis.EXE
Detected: Windows XP Dodatek SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Documents and Settings\All Users\Menu Start\Programy\Autostart]
DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\System32\Userinit.exe

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

NeroFilterCheck = C:\WINDOWS\system32\NeroCheck.exe
ccApp = "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll - {53707962-
6F74-2D53-2644-206D7942484F}
NAV Helper - C:\Program Files\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-
42AD-A544-FADC6B084872}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Norton AntiVirus - Scan my computer.job
Symantec NetDetect.job

--------------------------------------------------

Enumerating Download Program Files:

[WUWebControl Class]
InProcServer32 = C:\WINDOWS\System32\wuweb.dll
CODEBASE =
v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093799608835

[MainControl Class]
InProcServer32 = C:\WINDOWS\System32\SkanerOnline.dll
CODEBASE = skaner.mks.com.pl/SkanerOnline.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 4 433 bytes
Report generated in 0,060 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

[netsec]

Usuń noramalnym trybie w HiJack tę pozycje:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe

Jak poszła instalacja firewall?

:((

[Gość: Gosia]

Dziękuje Ci bardzo,wykasowałam co wskazałeś.Jeśli chodzi o firewall,to niestety
nadal jest problem.Tak jak mówiłeś, sprowadziłam nową wersję ale niestety w
trybie awaryjnym też nie mogę tego starego wykasować ( a w ogóle pokazuje mi
się,że zajmuje on 0,96MB(?))Spróbowałam więc zainstalować nową wersję i kreator
chodził prawidłowo ale potem, po ponownym uruchomieniu komputera pojawia się
informacja,że jest problem z aplikacją i zostanie ona zamknięta:(Już naprawdę
nie wiem co robić.Pewnie już tracisz do mnie cierpliwość ale błagam wymyśl
coś:)) P.S Już nawet boję się pytać co z tą moją zajętą pamięcią;)...więcej
grzechów nie pamiętam;) Pozdrawiam.

[netsec]

Czy po takiej instalacji firewall można go odinstalowac?

[Gość: Gosia]

Powiem szczerze,że też były ogromne trudności ale za którymś razem
poszło...jakby przypadkowo:( ,bo czynności były te same (w trybie normalnym).

[netsec]

Czy coś jeszcze nie jest ok?

[Gość: Gosia]

Tylko cały czas siedzi ten stary firewall a nowego nie można zainstalować i
wolna pamięć na dysku C wynosi 4GB( a było ok.7GB).Poza tym raczej niczego
podejrzanego nie zauważam...:(

[netsec]

Analiza wielkości folderów przez Tree Size nic nie daje?

[Gość: Gosia]

Właśnie nie mogę tego programu zainstalować,próbowałam już tysiące razy:( Nie
wiem czy to istotne ale wydaje mi się,że kiedyś komputer szybciej mi się
otwierał...ale teraz to już może doszukuję się problemów:(Błagam,tylko mi nie
mów,że trzeba formatować,bo już tak się cieszyłam...Bez firewalla to długo się
chyba nie utrzymam bez następnych syfków:( i dlaczego tego nie można
wykasować...może coś wcześniej skopałam?? :( A może spróbowac sprowadzić jakiś
inny firewall czy już nie mieszać?? Już tracę cierpliwość...i Ty pewnie też.

[netsec]

Na początek włącz systemową zapore.

[Gość: Gosia]

Mam włączoną...juz miałam:) wszystko uaktualnione:) te wszystkie krytyczne
poprawki ,Serwis Pack 2 też:)

[netsec]

Zamknij wszystkie programy.
1. Uupewnij się, że opcja Pokaż wszystkie pliki w Eksploratorze Windows jest
włączona.

a. Kliknij przycisk Start, kliknij polecenie Mój komputer, kliknij menu
Narzędzia, a następnie kliknij polecenie Opcje folderów. Kliknij kartę
Widok.

b. W sekcji Ustawienia zaawansowane kliknij pozycję Pokaż ukryte pliki i foldery.

c. W sekcji Ustawienia zaawansowane kliknij, aby wyczyścić pole wyboru
Ukryj chronione pliki systemu operacyjnego (zalecane).

Otwórz Mój Komputer wpisz w pasku adresu %TEMP% i naciśnij ENTER.
Przejdziesz do folderu TEMP. Skasuj w nim wszystkie pliki, które uda się
skasować.

Oczyść kosz.

Dodatkowo oczyść dysk:
www.searchengines.pl/phpbb203/index.php?showtopic=5989&st=0&#entry54494

[Gość: Gosia]

Wszystko zrobiłam.Na dysku niczego zlego nie było.Czekam na dalsze instrukcje:))
Pozdrawiam.

[netsec]

Wyłącz sygate firewall.
Ściagnij raz jeszcze Treesize, może tamten plik jest uszkodzony:
www.jam-software.com/freeware/TreeSizeSetup.exe

[Gość: Gosia]

Dzięki,udało się:)na czerwono wyświetliło się:
2571MB WINDOWS
-617MB system 32
-507MB Software Distribution
-474MB Service Pack Files
1444MB Document and Settings
-1389MB All Users
1158mb System volume Informations
-1158MB _restore{20477FEO-2242-4C85-9EF7-8A73A187B578}
872MB Program Files
-257MB PIXELA
-140MB Common Files

Tyle było na czerwono.Co o tym myślisz?
P.S Firewall niestety cały czas jest wyłączony :( Już drugi raz go nie
instalowałam,bo ten stary nadal siedzi i boję się,że sytuacja się powtórzy...:(

[netsec]

1. Wyłącz przywracanie systemu na wszystkich dyskach.
2. Sprawdź w TreeSize co zajmuj tyle miejsca w folderze
Document and Settings\All Users
3. Skasuj zawartość folderów SoftwareDistribution\Download i
SoftwareDistribution\SelfUpdate, jednak same foldery mają pozostać.
4. Włącz przywracanie systemu i oczyść kosz.

[Gość: Gosia]

Dzięki,teraz mam już na dysku wolne 5,16GB.W folderze Document and Setting\All
Users najwięcej miejsca zajmują Dane aplikacji ( 1384 MB ).Czy coś jeszcze
można zrobić??

[Gość: Gosia]

Jest plik Dr Watson (w końcu wiem co to jest dzięki Twojej lekturze;) ) w
C:\Document and Setings\all Users\Aplikation Data\Microsoft\ ma 1,32GB ale nie
mogę go wykasować.Po wejściu start>>Uruchom pojawia się okienko gdzie mam
podać nazwę pliku ale Windows nie może tego odnaleźć.Na pewno coś robię źle;),
proszę powiedz jak go wykasować.Pozdrawiam i przepraszam za swoją ciemnote;)

[Gość: Gosia]

Już jest ok.:-)Plik Doktorka wykasowany,wolne miejsce na dysku powróciło do
swoich rozmiarów:)Wielkie,wielkie dzięki Netsecu:)))Tylko powiedz mi teraz
proszę,co zrobic z tym firewall??Tej"resztki" poprzedniego nie mogę wykasować
ani w normalnym ani w awaryjnym trybie:(Nowa wersja instaluje się ale po
uruchomieniu komputera wyłącza:( a wykasowanie jej też kosztuje mnie potem dużo
zdrowia.I co tu robić?Dlaczego tak się dzieje?Może coś jednak jeszcze siedzi w
komputerze?A może spróbować sprowadzić jakiś inny firewall? (a temu sygate dać
spokój?),a jeśli tak to powiedz proszę jaki (czytałam,że polecasz
Outpost).Tracę już powoli siły na to wszystko:(((((

[netsec]

Jaką masz zainstalowaną wersje firewall? Podaj wersje i typ firewall.

[Gość: Gosia]

Ta staruszka to Sygate Personal Firewall 5.1 ( wolna wersja, zajmuje 0.96 MB
czyli to pewnie jakiś jej skrawek,nad którego wykasowaniem właśnie tak sie
męczę).Mam już gotową do zainstalowania wersję 5.6.Jednak jak ją instalowałam
(kreator chodził ok),po ponownym uruchomieniu komputera pojawiał się błąd w
aplikacji i informacja,że aplikacja ta zostanie zamknięta.Aktualnie go
odinstalowałam.Teraz nie wiem,czy to właśnie pozostałości tamtej wersji tak
mieszają,czy może Norton..?? czy może ja coś namieszałam...co pewnie bardziej
prawdopodobne:(Zastanawiało mnie,że po aktualizacji on chciał się rejestrować,a
to była wolna wersja:(A może tu jast tak jak w przypadku Outposta,że po
aktualizacji ważny jest 30 dni itd.?...co nie zmienia jednak faktu,że powinien
dać się wykasować:(W każdym razie problem z firewall zaczął się wtedy, jak
zaczęły dziać się "te cuda" z wolnym miejscem na dysku C.Komputer sam sie
restartował itp.Może wtedy coś się uszkodziło??Czy to możliwe??

[netsec]

Tutaj masz opis jak po odinstalowaniu sygate wyczyścić system, mam nadzieje że
angielski nie będzie problemem ;)
forums.sygate.com/vb/showthread.php?s=&threadid=1934

:))))))

[Gość: Gosia]

Netsec...pięt Twoich niegodnam całować ;))))Dziękuję,dziękuję,dziękuję!!!!
Wszystko jest już ok.:))Wiem,że nadwyrężyłam Twoją cierpliwość..ale komputerek
działa teraz bez zarzutu, z firewall na czele!!:)))bez Twojej pomocy w życiu
nie wykasowałabym tego dziada.Pozdrawiam gorąco:)))) Gosia.

[netsec]

You welcome ;)