do netsec lub piecyka gazowego: pls help

30.11.04, 21:41
pomozcie prosze, jakas masakra w kompie;( zeby nie byc taka nieporadna
wklejam loga do sprawdzenia (btw mks vir kt mam po zeskanowaniu i usunieciu
trojanow po restarcie znow wskazuje jakies zainfekowane pliki, ponadto na
desktopie mam tapete z htmla i jakis skrot ktory nie da sie usunac w zaden
znany mi sposob - robilam pokaz zrodlo i kasowalam i nic) bardzo dziekuje za
pomoc i wklejam loga.

Logfile of HijackThis v1.98.2
Scan saved at 21:34:09, on 2004-11-30
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\MKS\Bin\mks_menu.exe
C:\Program Files\Common Files\Nokia\NCLTools\NclConf.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\System32\twink64.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\MKS\Bin\NetMonSv.exe
C:\Program Files\MKS\Bin\mksmonsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\MKS\Bin\mks_scan.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1
\COMMON~1\Real\Toolbar\realbar.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-
90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1
\COMMON~1\Real\Toolbar\realbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common
Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\aeuccfru.exe
O4 - HKLM\..\Run: [MKS_MENU] C:\Program Files\MKS\Bin\mks_menu.exe
O4 - HKLM\..\Run: [Nokia Connection Monitor] "C:\Program Files\Common
Files\Nokia\NCLTools\NclConf.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe
internat.dll,LoadKeyboardProfile
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.topconverting.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (SL Control) -
static.topconverting.com/activex/sl.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller
Control) - www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} (O2C-Player (ELECO Software
GmbH)) - www.o2c.de/download/o2cplayer.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab
O18 - Filter: text/html - {10F8604D-0D4E-4E19-ADCA-564F31122EF0} -
C:\WINDOWS\System32\hebmba.dll
O18 - Filter: text/plain - {10F8604D-0D4E-4E19-ADCA-564F31122EF0} -
C:\WINDOWS\System32\hebmba.dll
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} -
C:\WINDOWS\System32\Epehin32.dll (file missing)

    • Gość: piecyk gazowy PIERWSZY!!! ;-))) IP: *.tpnet.pl / *.tpnet.pl 30.11.04, 22:13
      beatrix.kiddo napisała:

      Do wywalenia:

      > R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
      > about:NavigationFailure
      > R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
      > about:NavigationFailure
      > R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
      > about:NavigationFailure
      > R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
      > about:NavigationFailure
      > R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
      > about:NavigationFailure
      > R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
      > about:NavigationFailure
      > R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
      > R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
      > R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

      > O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

      > O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids.exe

      > O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\aeuccfru.exe

      > O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe
      > internat.dll,LoadKeyboardProfile

      > O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
      > C:\WINDOWS\web\related.htm
      > O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
      > 00aa003c157a} - C:\WINDOWS\web\related.htm
      > O15 - Trusted Zone: *.blazefind.com
      > O15 - Trusted Zone: *.clickspring.net
      > O15 - Trusted Zone: *.crazywinnings.com
      > O15 - Trusted Zone: *.flingstone.com
      > O15 - Trusted Zone: *.mt-download.com
      > O15 - Trusted Zone: *.my-internet.info
      > O15 - Trusted Zone: *.searchbarcash.com
      > O15 - Trusted Zone: *.searchmiracle.com
      > O15 - Trusted Zone: *.skoobidoo.com
      > O15 - Trusted Zone: *.slotch.com
      > O15 - Trusted Zone: *.slotchbar.com
      > O15 - Trusted Zone: *.topconverting.com
      > O15 - Trusted Zone: *.windupdates.com
      > O15 - Trusted Zone: *.xxxtoolbar.com
      > O15 - Trusted Zone: *.ysbweb.com
      > O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (SL Control) -
      > static.topconverting.com/activex/sl.cab
      > O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller
      > Control) - www.mt-download.com/MediaTicketsInstaller.cab
      > O16 - DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} (O2C-Player (ELECO Software
      > GmbH)) - www.o2c.de/download/o2cplayer.cab

      > O18 - Filter: text/html - {10F8604D-0D4E-4E19-ADCA-564F31122EF0} -
      > C:\WINDOWS\System32\hebmba.dll
      > O18 - Filter: text/plain - {10F8604D-0D4E-4E19-ADCA-564F31122EF0} -
      > C:\WINDOWS\System32\hebmba.dll
      > O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} -
      > C:\WINDOWS\System32\Epehin32.dll (file missing)

      Nie wiem czy pomoże, potem restart i zobacz czy jest jakiś efekt. Ew. jeszcze
      raz wklej loga.
      • beatrix.kiddo Re: PIERWSZY!!! ;-))) 30.11.04, 23:05
        witam:) usunelam zgodnie z instrukcja, zmiany sie pojawily, po restarcie nie
        mowi mi juz o wirusach, explorer otwiera sie z gazety jednak na pulpicie znow
        mam ta beznadziejna strone i jakis link "! Protect your privacy" czy cos takiego
        wklejam loga i jeszcze raz prosze o pomoc:)

        Logfile of HijackThis v1.98.2
        Scan saved at 23:04:26, on 2004-11-30
        Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\SYSTEM32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\system32\spoolsv.exe
        C:\WINDOWS\Explorer.EXE
        C:\WINDOWS\SOUNDMAN.EXE
        C:\Program Files\Common Files\Real\Update_OB\realsched.exe
        C:\Program Files\MKS\Bin\mks_menu.exe
        C:\Program Files\Common Files\Nokia\NCLTools\NclConf.exe
        C:\Program Files\Winamp\winampa.exe
        C:\Program Files\Gadu-Gadu\gg.exe
        C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
        C:\Program Files\MKS\Bin\NetMonSv.exe
        C:\Program Files\MKS\Bin\mksmonsv.exe
        C:\WINDOWS\System32\nvsvc32.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\System32\MsPMSPSv.exe
        C:\Program Files\MKS\Bin\mks_scan.exe
        C:\Program Files\Internet Explorer\IEXPLORE.EXE
        D:\hijackthis\HijackThis.exe

        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
        www.gazeta.pl/
        O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
        C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
        O2 - BHO: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1
        \COMMON~1\Real\Toolbar\realbar.dll
        O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-
        90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
        O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
        C:\WINDOWS\System32\msdxm.ocx
        O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1
        \COMMON~1\Real\Toolbar\realbar.dll
        O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
        O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
        O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
        \NvCpl.dll,NvStartup
        O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
        O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common
        Files\Real\Update_OB\realsched.exe" -osboot
        O4 - HKLM\..\Run: [MKS_MENU] C:\Program Files\MKS\Bin\mks_menu.exe
        O4 - HKLM\..\Run: [Nokia Connection Monitor] "C:\Program Files\Common
        Files\Nokia\NCLTools\NclConf.exe"
        O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
        O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
        O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
        O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
        res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
        O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
        C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
        O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
        skaner.mks.com.pl/SkanerOnline.cab
        pozdro Asia
        • Gość: piecyk gazowy Re: PIERWSZY!!! ;-))) IP: *.tpnet.pl / *.tpnet.pl 30.11.04, 23:17
          Jakie masz piękne imię, Joanno! :-)

          Przeoczyłem to:

          > O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-
          > 90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll

          Usuń. Przeskanuj jeszcze raz i sprawdź, czy log jest już czysty.

          Używałaś jakichś "odspamiaczy"? Warto użyć przynajmniej jednego - Ad-aware lub
          Sbybota.

          Ad-Aware
          ftp://ftp.download.com/pub/win95/utilities/aawsepersonal.exe
          Spolszczenie
          www.programosy.schron.pl/pl/adw10xpl.rar

          Spybot - Search & Destroy
          ftp://ftp.download.com/pub/win95/utilities/spybotsd13.exe

          Warto też użyć CWShreddera: cwshredder.net/bin/CWSInstall.exe
          (podczas działania programu przeglądarka musi być zamknięta).
          • Gość: piecyk gazowy Re: PIERWSZY!!! ;-))) IP: *.tpnet.pl / *.tpnet.pl 30.11.04, 23:23
            Gość portalu: piecyk gazowy napisał(a):

            > Używałaś jakichś "odspamiaczy"?

            Oczywiście chodziło o "odspyware'owacze". ;-)))

            Dobranoc!
          • beatrix.kiddo Re: PIERWSZY!!! ;-))) 30.11.04, 23:39
            dzieki serdeczne:) co prawda nie wiem czy log jest czysty gdyz sie na tym nie
            znam ale nic mnie juz, oprocz linka do "! Protect your privacy" nie neka:)
            bedzie mi sie duuuuzo lepiej spalo bo sie zdenerwowalam. jeszcze raz dzieki:)
            ps. piecyk to tez ladne imie:P

            pozdrawiam
        • netsec Re: PIERWSZY!!! ;-))) 30.11.04, 23:24
          Stań myszką na pulpicie, prawym klawiszem wybierz Właściwości dalej zakładka
          Pulpit ustaw Tło na Brak. Dodatkowo przejdź do Dostosuj Pulpit dalej Sieć Web
          usuń lub odznacz pozycje które tu są. Na koniec potwierdź zmiany OK.
          Napisz jak efekty to podam co dalej.
          • beatrix.kiddo Re: PIERWSZY!!! ;-))) 30.11.04, 23:41
            netsec napisał:

            > Stań myszką na pulpicie, prawym klawiszem wybierz Właściwości dalej zakładka
            > Pulpit ustaw Tło na Brak. Dodatkowo przejdź do Dostosuj Pulpit dalej Sieć Web
            > usuń lub odznacz pozycje które tu są. Na koniec potwierdź zmiany OK.
            > Napisz jak efekty to podam co dalej.
            >
            bardzo dziekuje:) efekty super - nie ma juz tej beznadziejnej strony a na
            ekranie znow widze zamek w niedzicy:), jeszcze zostal mi na desktopie link do
            czegos tam. reszte, wydaje mi sie, ze usunelam. co mam dalej robic?
            • netsec Re: PIERWSZY!!! ;-))) 01.12.04, 09:07
              Usuń ten nieznany link z pulpitu.
              Ściągnij i zainstaluj Ad-Aware SE Personal Edition v1.05
              Pobieranie najnowszej wersji:
              www.download.com/3000-2144-10045910.html
              Przeskanuj Ad-Aware cały system.
              W celu zapewnienia maksymalnej skuteczności, należy
              przed skanowaniem wykonać aktualizacje bazy wykrywania.
              W trakcie uruchamiania skanowania, należy w zakładce
              "Preparing System Scan" wybrać "Perform full system scan".
              Po zakończeniu skanowania pojawi się lista obiektów do
              usunięcia. Każdą z pozycji należy zaznaczyć(haczykiem) lub prawym klawiszem
              myszki można wybrać z menu kontekstowego "Select All Objects".
              Po zaznaczeniu wszystkich pozycji należy kliknąć Next, w ten sposób
              zaznaczone obiekty zostaną usunięte. Po zakończeniu uruchom komputer ponownie.

              Po tym wklej log z Startuplist. W tym celu uruchom ponownie HiJackThis przejdź
              do Config później do Misc Tools i kliknij Generate StartupList log.
              Program zapyta czy wygenerować listę, potwierdź a zawartość listy wklej na forum.

              Dla porównania w oddzielnym poście wklej również nowy log z HiJackThis.
              • beatrix.kiddo Re: PIERWSZY!!! ;-))) 01.12.04, 10:34
                dzieki
                zrobie to wieczorem, po pracy i wszystko opisze:) jeszcze raz baaaaaaardzo
                dziekuje za pomoc:))))
                a.
              • beatrix.kiddo Re: PIERWSZY!!! ;-))) 01.12.04, 20:17
                witam:) po restarcie po skanie ad-aware'm mks pokazal mi jakies nowe dwa albo
                trzy wirusy, ale podobno je skasowalam
                a to start up list

                StartupList report, 2004-12-01, 20:14:36
                StartupList version: 1.52.2
                Started from : D:\hijackthis\HijackThis.EXE
                Detected: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
                Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
                * Using default options
                ==================================================

                Running processes:

                C:\WINDOWS\System32\smss.exe
                C:\WINDOWS\SYSTEM32\winlogon.exe
                C:\WINDOWS\system32\services.exe
                C:\WINDOWS\system32\lsass.exe
                C:\WINDOWS\system32\svchost.exe
                C:\WINDOWS\System32\svchost.exe
                C:\WINDOWS\Explorer.EXE
                C:\WINDOWS\system32\spoolsv.exe
                C:\WINDOWS\SOUNDMAN.EXE
                C:\Program Files\Common Files\Real\Update_OB\realsched.exe
                C:\Program Files\MKS\Bin\mks_menu.exe
                C:\Program Files\Common Files\Nokia\NCLTools\NclConf.exe
                C:\Program Files\Winamp\winampa.exe
                C:\Program Files\Gadu-Gadu\gg.exe
                C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
                C:\Program Files\MKS\Bin\NetMonSv.exe
                C:\Program Files\MKS\Bin\mksmonsv.exe
                C:\WINDOWS\System32\nvsvc32.exe
                C:\WINDOWS\System32\svchost.exe
                C:\WINDOWS\System32\MsPMSPSv.exe
                C:\Program Files\MKS\Bin\mks_scan.exe
                C:\Program Files\Internet Explorer\IEXPLORE.EXE
                D:\hijackthis\HijackThis.exe

                --------------------------------------------------

                Checking Windows NT UserInit:

                [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
                UserInit = C:\WINDOWS\system32\userinit.exe,

                --------------------------------------------------

                Autorun entries from Registry:
                HKLM\Software\Microsoft\Windows\CurrentVersion\Run

                SoundMan = SOUNDMAN.EXE
                NeroFilterCheck = C:\WINDOWS\system32\NeroCheck.exe
                NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
                nwiz = nwiz.exe /install
                TkBellExe = "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
                MKS_MENU = C:\Program Files\MKS\Bin\mks_menu.exe
                Nokia Connection Monitor = "C:\Program Files\Common
                Files\Nokia\NCLTools\NclConf.exe"
                WinampAgent = C:\Program Files\Winamp\winampa.exe

                --------------------------------------------------

                Autorun entries from Registry:
                HKCU\Software\Microsoft\Windows\CurrentVersion\Run

                Gadu-Gadu = "C:\Program Files\Gadu-Gadu\gg.exe" /tray

                --------------------------------------------------

                Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

                Shell=*INI section not found*
                SCRNSAVE.EXE=*INI section not found*
                drivers=*INI section not found*

                Shell & screensaver key from Registry:

                Shell=Explorer.exe
                SCRNSAVE.EXE=C:\WINDOWS\System32\BRIDE.SCR
                drivers=*Registry value not found*

                Policies Shell key:

                HKCU\..\Policies: Shell=*Registry key not found*
                HKLM\..\Policies: Shell=*Registry value not found*

                --------------------------------------------------


                Enumerating Browser Helper Objects:

                (no name) - C:\Program Files\Adobe\Acrobat 5.0
                CE\Reader\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
                (no name) - C:\PROGRA~1\COMMON~1\Real\Toolbar\realbar.dll - {4E7BD74F-2B8D-469E-
                C0FF-FD60B590A87D}
                (no name) - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll - {53707962-
                6F74-2D53-2644-206D7942484F}

                --------------------------------------------------

                Enumerating Task Scheduler jobs:

                MkSUpdate.job

                --------------------------------------------------

                Enumerating Download Program Files:

                [Shockwave Flash Object]
                InProcServer32 = C:\WINDOWS\System32\Macromed\Flash\flash.ocx
                CODEBASE = download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

                [MainControl Class]
                InProcServer32 = C:\WINDOWS\System32\SkanerOnline.dll
                CODEBASE = skaner.mks.com.pl/SkanerOnline.cab

                --------------------------------------------------

                Enumerating ShellServiceObjectDelayLoad items:

                PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
                CDBurn: C:\WINDOWS\system32\SHELL32.dll
                WebCheck: C:\WINDOWS\System32\webcheck.dll
                SysTray: C:\WINDOWS\System32\stobject.dll

                --------------------------------------------------
                End of report, 4 594 bytes
                Report generated in 0,172 seconds

                Command line options:
                /verbose - to add additional info on each section
                /complete - to include empty sections and unsuspicious data
                /full - to include several rarely-important sections
                /force9x - to include Win9x-only startups even if running on WinNT
                /forcent - to include WinNT-only startups even if running on Win9x
                /forceall - to include all Win9x and WinNT startups, regardless of platform
                /history - to list version history only
              • beatrix.kiddo nowy log po scanie ad-aware'm 01.12.04, 20:18
                Logfile of HijackThis v1.98.2
                Scan saved at 20:18:07, on 2004-12-01
                Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
                MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

                Running processes:
                C:\WINDOWS\System32\smss.exe
                C:\WINDOWS\SYSTEM32\winlogon.exe
                C:\WINDOWS\system32\services.exe
                C:\WINDOWS\system32\lsass.exe
                C:\WINDOWS\system32\svchost.exe
                C:\WINDOWS\System32\svchost.exe
                C:\WINDOWS\Explorer.EXE
                C:\WINDOWS\system32\spoolsv.exe
                C:\WINDOWS\SOUNDMAN.EXE
                C:\Program Files\Common Files\Real\Update_OB\realsched.exe
                C:\Program Files\MKS\Bin\mks_menu.exe
                C:\Program Files\Common Files\Nokia\NCLTools\NclConf.exe
                C:\Program Files\Winamp\winampa.exe
                C:\Program Files\Gadu-Gadu\gg.exe
                C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
                C:\Program Files\MKS\Bin\NetMonSv.exe
                C:\Program Files\MKS\Bin\mksmonsv.exe
                C:\WINDOWS\System32\nvsvc32.exe
                C:\WINDOWS\System32\svchost.exe
                C:\WINDOWS\System32\MsPMSPSv.exe
                C:\Program Files\MKS\Bin\mks_scan.exe
                C:\Program Files\Internet Explorer\IEXPLORE.EXE
                C:\WINDOWS\System32\notepad.exe
                D:\hijackthis\HijackThis.exe

                R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
                www.gazeta.pl/
                O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
                C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
                O2 - BHO: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1
                \COMMON~1\Real\Toolbar\realbar.dll
                O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program
                Files\Spybot - Search & Destroy\SDHelper.dll
                O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
                C:\WINDOWS\System32\msdxm.ocx
                O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1
                \COMMON~1\Real\Toolbar\realbar.dll
                O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
                O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
                O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
                \NvCpl.dll,NvStartup
                O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
                O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common
                Files\Real\Update_OB\realsched.exe" -osboot
                O4 - HKLM\..\Run: [MKS_MENU] C:\Program Files\MKS\Bin\mks_menu.exe
                O4 - HKLM\..\Run: [Nokia Connection Monitor] "C:\Program Files\Common
                Files\Nokia\NCLTools\NclConf.exe"
                O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
                O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
                O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
                O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
                res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
                O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
                C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
                O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
                skaner.mks.com.pl/SkanerOnline.cab
                • netsec Re: nowy log po scanie ad-aware'm 01.12.04, 22:30
                  Logi wyglądają dobrze. Dodatkowo zainstaluj Jave Sun:
                  java.sun.com/webapps/download/AutoDL?BundleId=9723
                  Zainstaluj alternatywną przeglądarkę www, Firefox www.firefox.pl
                  Jest bezpieczniejsza od Internet Explorer’a nawet od wersji z SP2 i mniej
                  obciąża system.
                  Włącz przywracanie systemu i zaktualizuj system o wszystkie
                  krytyczne poprawki. Najlepiej będzie jeśli zaktualizujesz system o Serwis Pack 2
                  Tutaj masz więcej na ten temat:
                  www.microsoft.com/poland/security/protect/windowsxp/choose.aspx
    • Gość: michu Re: do netsec lub piecyka gazowego: pls help IP: *.internetdsl.tpnet.pl 09.12.04, 20:24
      jeśli chcesz pomocy to wołaj mnie na gg 4651002
Pełna wersja