pulpitu nie mam ale nerwicę tak...pomocy!!!!

[hela1980]

do tej pory pomagał mi Netsec i proszę o pomoc znowu, chociaz przyjme kazdą
inna rade także.po przebojach z mksem i zamulonym kompem zrobilam wszystko co
kazałeś(javy nie moge sciagnac ale nadal bede probowac), CWshredder, Ad aware
poszlo gladko i było oki. ale jakiez było moje zdziwienie gdy wlaczyłam
wczoraj kompa i zamiast pulpitu mam stronke html Warning you're in danger i
nowy skrot Protect your data.avast na starcie wykrywa wirusy Startpage006,
Malware i Favad i niby je usuwa, ale po kazdym uruchomieniu znow to samo.Poza
tym startowa byla google a jest about blank-zmieniam w opcjach i nic. Komus
juz radziles co zrobic z tym pulpitem-usunełam tam jeden obiekt sieci web i
dalam na brak-znowu ok, a po uruchomieniu zabawa od nowa. mialam wkleic log
ze startuplist i nowy z hijack wiec wklejam...

log ze startuplist

[hela1980]

StartupList report, 2004-12-01, 12:38:44
StartupList version: 1.52.2
Started from : C:\Downloads\Hijack\HijackThis.EXE
Detected: Windows XP (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 (6.00.2600.0000)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\twink64.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\GADU-G~1\gg.exe
C:\WINDOWS\System32\l?gonui.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Microsoft Office\Office\1045\msoffice.exe
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\Program Files\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\windos.exe
C:\Downloads\Hijack\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Documents and Settings\All Users\Menu Start\Programy\Autostart]
WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

ATIPTA = C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
SoundMan = SOUNDMAN.EXE
WinampAgent = C:\Program Files\Winamp\winampa.exe
NeroCheck = C:\WINDOWS\System32\NeroCheck.exe
CloneCDElbyCDFL = "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L
ElbyCDFL
CloneCDTray = "C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"
HPDJ Taskbar Utility = C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
QuickTime Task = "C:\WINDOWS\System32\qttask.exe" -atboottime
WheelMouse = C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
avast! = C:\PROGRA~1\Avast4\ashDisp.exe
ControlPanel = C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

CTFMON.EXE = C:\WINDOWS\System32\ctfmon.exe
Komunikator = C:\Program Files\Tlen.pl\tlen.exe
Gadu-Gadu = "C:\PROGRA~1\GADU-G~1\gg.exe" /tray
Mhao = C:\Documents and Settings\Banayś\Dane aplikacji\hhoe.exe
Thghob = C:\WINDOWS\System32\l?gonui.exe

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\System32\ssstars.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\WINDOWS\System32\ajmiaa.dll - {AC5C2EFD-98DE-45C2-A63E-
44FE4D7F1A32}

--------------------------------------------------

Enumerating Download Program Files:

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE = download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[MainControl Class]
InProcServer32 = C:\WINDOWS\System32\SkanerOnline.dll
CODEBASE = skaner.mks.com.pl/SkanerOnline.cab

--------------------------------------------------

Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*

Windows NT checkdisk command:
BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':
PendingFileRenameOperations: C:\WINDOWS\System32\ajmiaa.dll


--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 5 432 bytes
Report generated in 0,063 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

log z Hijackthis

[hela1980]

Logfile of HijackThis v1.98.2
Scan saved at 12:40:14, on 2004-12-01
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\twink64.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\GADU-G~1\gg.exe
C:\WINDOWS\System32\l?gonui.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Microsoft Office\Office\1045\msoffice.exe
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\Program Files\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\windos.exe
C:\Downloads\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
file://C:\DOCUME~1\BANAYŚ\USTAWI~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
file://C:\DOCUME~1\BANAYŚ\USTAWI~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
file://C:\DOCUME~1\BANAYŚ\USTAWI~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
file://C:\DOCUME~1\BANAYŚ\USTAWI~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
file://C:\DOCUME~1\BANAYŚ\USTAWI~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
file://C:\DOCUME~1\BANAYŚ\USTAWI~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {AC5C2EFD-98DE-45C2-A63E-44FE4D7F1A32} -
C:\WINDOWS\System32\ajmiaa.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} -
C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control
Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate
Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\Elaborate
Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32
\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe
internat.dll,LoadKeyboardProfile
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\PROGRA~1\GADU-G~1\gg.exe" /tray
O4 - HKCU\..\Run: [Mhao] C:\Documents and Settings\Banayś\Dane
aplikacji\hhoe.exe
O4 - HKCU\..\Run: [Thghob] C:\WINDOWS\System32\l?gonui.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program
Files\WinZip\WZQKPICK.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office\OSA9.EXE
O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - C:\PROGRA~1
\FlashGet\jc_link.htm
O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a -
C:\PROGRA~1\FlashGet\jc_all.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} -
C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-
0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.topconverting.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab
O18 - Filter: text/html - {71DE8F2A-5191-4899-815E-395E9C77E123} -
C:\WINDOWS\System32\ajmiaa.dll
O18 - Filter: text/plain - {71DE8F2A-5191-4899-815E-395E9C77E123} -
C:\WINDOWS\System32\ajmiaa.dll

i jeszcze na dokładkę

[hela1980]

żeby było śmieszniej podczas pisania postu na forum otworzyly mi sie jakies 2
bzdetne strony i pojawily sie na pulpicie durne skróty:Online dating, Online
Auctions i Free casino:((((weszłam do panelu sterowania a tam w liscie progamów
jakies badziewie Search assistant Uninstall, ktorego nie można odinstalowac
syf na maksa ale moze ktoś pomoże

[netsec]

Zamknij wszystkie okna Internet Explorer’a i innych przeglądarek.
Uruchom ponownie HijackThis wykonaj SCAN i zaznacz (haczykiem)
dokładnie tylko te pozycje:

O4 - HKLM\..\Run: [Windows Millennium Edition Intro Video] C:\WINDOWS\Applic~1
\Micros~1\Intro\content.hta
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [MMTray] C:\Program Files\Musicmatch\Musicmatch
Jukebox\mm_tray.exe
O4 - HKLM\..\RunServices: [HiberMonitor] HCount.exe
O4 - Startup: Microsoft Find Fast.lnk = D:\Programy\office\Office\FINDFAST.EXE
O4 - User Startup: Microsoft Find Fast.lnk =
D:\Programy\office\Office\FINDFAST.EXE

.Po zaznaczeniu wymienionych pozycji wykonaj FIX CHECKED i potwierdź TAK/OK.

Uruchom komputer ponownie.

Ściągnij i zainstaluj Ad-Aware SE Personal Edition v1.05
Pobieranie najnowszej wersji:
www.download.com/3000-2144-10045910.html
Przeskanuj Ad-Aware cały system.
W celu zapewnienia maksymalnej skuteczności, należy
przed skanowaniem wykonać aktualizacje bazy wykrywania.
W trakcie uruchamiania skanowania, należy w zakładce
"Preparing System Scan" wybrać "Perform full system scan".
Po zakończeniu skanowania pojawi się lista obiektów do
usunięcia. Każdą z pozycji należy zaznaczyć(haczykiem) lub prawym klawiszem
myszki można wybrać z menu kontekstowego "Select All Objects".
Po zaznaczeniu wszystkich pozycji należy kliknąć Next, w ten sposób
zaznaczone obiekty zostaną usunięte. Po zakończeniu uruchom komputer ponownie.

Zaktualizuj system:
www.microsoft.com/poland/security/protect/windowsme/firewall.aspx
Po wszystkim wklej nowe logi startuplist i Hijack.

[netsec]

Ten poprzedni post to pomyłka :( Ten jest ok :)

Wyłącz przywracanie systemu:
support.microsoft.com/default.aspx?scid=kb;pl;310405
Uruchom ponownie HiJackThis wykonaj SCAN i zaznacz(haczykiem) te pozycje:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
file://C:\DOCUME~1\BANAYŚ\USTAWI~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
file://C:\DOCUME~1\BANAYŚ\USTAWI~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
file://C:\DOCUME~1\BANAYŚ\USTAWI~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
file://C:\DOCUME~1\BANAYŚ\USTAWI~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
file://C:\DOCUME~1\BANAYŚ\USTAWI~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
file://C:\DOCUME~1\BANAYŚ\USTAWI~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {AC5C2EFD-98DE-45C2-A63E-44FE4D7F1A32} -
C:\WINDOWS\System32\ajmiaa.dll (file missing)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} -
C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - HKCU\..\Run: [Mhao] C:\Documents and Settings\Banayś\Dane
aplikacji\hhoe.exe
O4 - HKCU\..\Run: [Thghob] C:\WINDOWS\System32\l?gonui.exe
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.topconverting.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O18 - Filter: text/html - {71DE8F2A-5191-4899-815E-395E9C77E123} -
C:\WINDOWS\System32\ajmiaa.dll
O18 - Filter: text/plain - {71DE8F2A-5191-4899-815E-395E9C77E123} -
C:\WINDOWS\System32\ajmiaa.dll


Po zaznaczeniu wykonaj FIX CHECKED i potwierdź TAK/OK.

Uruchom CWShredder i wykonaj Fix.

Uruchom komputer w trybie awaryjnym:
support.microsoft.com/default.aspx?scid=KB;PL;315222
Uwaga! Przy starcie do awaryjnego dostaniesz pytanie o wybór konta. NIE wybieraj
konta Administratora tylko swoje własne imienne, bo na tym profilu jest syf. Po
uruchomieniu komputera w trybie awaryjnym, nie otwieraj Internet Explorera.

Znajdź i usuń pliki hhoe.exe , l?gonui.exe , ajmiaa.dll

nowe wieści

[hela1980]

zrobilam tak jak napisales...tylko, że na pulpicie nadal html warning, you're
in dangerous i ikona Protect your data, za 2 tyg zmieniam system na xp home a
do tego czasu chce ciagnac na tym co jest, czy jest to możlwie?????czy juz
tylko format C?
wklejam aktualny log z Hijacka
Logfile of HijackThis v1.98.2
Scan saved at 16:26:07, on 2004-12-01
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\Program Files\Avast4\ashMaiSv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\GADU-G~1\gg.exe
C:\Documents and Settings\Banayś\Dane aplikacji\hhoe.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Microsoft Office\Office\1045\msoffice.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Downloads\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
file://C:\DOCUME~1\BANAYŚ\USTAWI~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
file://C:\DOCUME~1\BANAYŚ\USTAWI~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
file://C:\DOCUME~1\BANAYŚ\USTAWI~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
file://C:\DOCUME~1\BANAYŚ\USTAWI~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
file://C:\DOCUME~1\BANAYŚ\USTAWI~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
file://C:\DOCUME~1\BANAYŚ\USTAWI~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control
Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate
Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\Elaborate
Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32
\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe
internat.dll,LoadKeyboardProfile
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\PROGRA~1\GADU-G~1\gg.exe" /tray
O4 - HKCU\..\Run: [Mhao] C:\Documents and Settings\Banayś\Dane
aplikacji\hhoe.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program
Files\WinZip\WZQKPICK.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office\OSA9.EXE
O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - C:\PROGRA~1
\FlashGet\jc_link.htm
O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a -
C:\PROGRA~1\FlashGet\jc_all.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} -
C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-
0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.topconverting.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller
Control) - www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab
O18 - Filter: text/html - {3AAA5BA6-1EC7-4709-9703-F45829B1D262} -
C:\WINDOWS\System32\amhhaaa.dll
O18 - Filter: text/plain - {3AAA5BA6-1EC7-4709-9703-F45829B1D262} -
C:\WINDOWS\System32\amhhaaa.dll

pewnie te dwa ostatnie do usuniecia? i co jeszcze?znowu jest to hhoe.exe a
usuwalam w awaryjnym
czekam na podpowiedz dzięki wielkie

[netsec]

Stań myszką na pulpicie, prawym klawiszem wybierz Właściwości dalej zakładka
Pulpit ustaw Tło na Brak. Dodatkowo przejdź do Dostosuj Pulpit dalej Sieć Web
usuń lub odznacz pozycje które tu są. Na koniec potwierdź zmiany OK.

[hela1980]

robiłam tak juz ponad 10 razy ale wszystko wraca jak uruchamiam kompa ponownie,
zerknij prosze na tego loga wyzej co wyslalam, dziś juz spadam z kompa jutro
walka od nowa:(((((((((((daj znac jak cos wymyslisz serdeczne dzięki

Nie ma rady

[Gość: Qlas]

Mam ten sam problem, jak na razie pomógł mi program Webroot spy sweeper,ale
tylko tymczasowo.Nie obejdzie sie bez reinstala :/

Damy radę ;)

[netsec]

Zapraszam na telen lub GG, mój nik ten sam co na forum gazety.
NIE MA TAKIEJ OPCJI ABY SIĘ NIE UDAŁO :)

[hela1980]

hej Netsec probowałam skontaktowac sie z Tobą na gg ale nie bylo Cie..najnowsze
wiesci sa takie...w pon niose kompa do serwisu niech go formatuja i wgrywaja
nowiutkiego xp home...jak tylko sprzet wroci do domu na pewno zapytam cie co
jeszcze doinstalowac...chyba, ze powiesz wczesniej co powinno byc..na plytce xp
home jest juz SP2..co jeszcze instalowac????
do pon dzialam na tym co jest ale niestety jest coraz gorzej, avast wykryl
wirusa w pamieci operacyjnej, po ponownym uruchomieniu i usunieciu go przez
avasta przy rozruchu to swinstwo siedzi nadal w innych plikach a o normalnym
pulpicie moge juz tylko marzyc, poza tym jak wylaczylam ukrywanie plikow to
widze, ze jest w wielu folderach plik o nazwie desktop, to normalne?....jesli
chcesz sie jeszcze w to pobawic wysylam nowego loga ale i tak dzieki za
dotychczasowa pomoc:))))
Logfile of HijackThis v1.98.2
Scan saved at 15:58:33, on 2004-12-02
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\twink64.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Documents and Settings\Banayś\Dane aplikacji\hhoe.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Microsoft Office\Office\1045\msoffice.exe
C:\Program Files\Avast4\ashServ.exe
C:\Program Files\Avast4\ashMaiSv.exe
C:\PROGRA~1\GADU-G~1\gg.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Downloads\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.google.pl/
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control
Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate
Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\Elaborate
Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32
\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe
internat.dll,LoadKeyboardProfile
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\PROGRA~1\GADU-G~1\gg.exe" /tray
O4 - HKCU\..\Run: [Mhao] C:\Documents and Settings\Banayś\Dane
aplikacji\hhoe.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program
Files\WinZip\WZQKPICK.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office\OSA9.EXE
O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - C:\PROGRA~1
\FlashGet\jc_link.htm
O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a -
C:\PROGRA~1\FlashGet\jc_all.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} -
C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-
0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab

[netsec]

Masz racje odezwij się jak będziesz miała całkiem nowy system.
Pamiętaj, że dla wersji OEM Windows XP musi być naklejona na obudowie
hologramowa nalepka, która świadczy o legalności zainstalowanego systemu.
Nalepka zwiera klucz produktu.
Na tlenie czekałem na odzew z Twojej strony. Mój nik netsec chyba nie jest
trudno znaleźć ;)

Będę na pewno

[hela1980]

jasne Netsec, ze zglosze sie po zainstalowaniu nowego systemu. Ufam, że serwis
do ktorego oddaje kompa nie rozprowadza nielegalnych kopii za 350zł:)ale dzięki
za wskazówkę do sprawdzenia legalnosci. Twój nr na gg mam nie bylo problemow ze
znalezieniem:)
pytanie: o co poprosić żeby zainstalowali jeszcze dla bezpieczenstwa na
kompie??? SP2 bedzie...jakiego firewalla(ten wbudowany w xp to chyba mało)?
pozdrawiam wdzięczna za wszytko!!!!

Też to mam

[Gość: fembris]

Nie mam pojęcie co z tym zrobić.Jestem załamany ponieważ kompa mam dopiero 4
dni po pięknym formacie.Jest na to jakaś rada?Rady opisane w tych kilku postach
wogóle nie działają.

[Gość: ojciec8x]

Witam :)! Przeczytalem te wszystkie wypowiedzi i tez inne na ten temat bo
wlasnie sam z tym walcze-wpadlem pzrez przypadek jak braciak wlozyl jakas
plytke do napedu i sie z nia bawil...Przez panel sterowania wchodzisz w ekran-
>Pulpit->dostosuj pulpit->Siec web i odznacz to co tam jest - ten szais
znika :)! Oczywiscie wszystkie opisane kroki przez mistrza sa bardzo dobre-
usowanie plikow na awaryjnym itd...Milego uzytkowania kompa:)

[netsec]

Mało dokładnie czytałeś :) Tu opisałem jak to wykonać:
forum.gazeta.pl/forum/72,2.html?f=430&w=18242841&wv.x=2&a=18246816
Kilkadziesiąt postów wcześniej -:)

[Gość: fembris]

Dzięki wielkie za pomoc.Niestety okazała się ona krótkotrwała :(To paskudztwo
na nowo się "odrodziło" i w tej sytuacji nie widzę innego wyjścia jak tylko
format.

[netsec]

Widocznie nie zostały usunięte wszystkie zmiany wprowadzone przez trojana.
Wystarczy że zostały zminione ZoneMAP i wszytskie strony mogą instalowac co chcą
bo są zufane -:)

[Gość: Olivka :)]

Czesc,mialam ten sam problem co hela1980 i chociaz kompletnie nie znam sie na
usuwaniu wirusow to dzieki waszyn radom udalo mi sie pozbyc tego czegos co
mialam na pulpicie. Bardzo Bardzo Bardzo Bardzo Bardzo wam Dziekuje i
Pozdrawiam!!!!

[netsec]

Syf w Twoim kompie pozostał, usunięty został tylko jeden z widocznych skutków
działalności trojana. Dalej nieautoryzowany dostęp do twojego komputera jest
możliwy. No tak, ktoś powiedział że większość ludzi to wzrokowcy :)

[Gość: mgsx]

To jest najprzydatniejsze forum jakie widziałem!!!


"Wszystko kręci się jak pozytywka"