błagam pomocy

[Gość: magda]

jakis czas temu sciagnełam dziwne badziewie na kompa jestem barzdo zielona
ale roznym programami i recznie pozbyłam sie głupiej strony startowej
myslałam ze bedzie dobrze ale nie jest nadal podczas przegladania stron
internetowych itp aktywuja mi sie jakies inne sciagajac cos na moj pulpit
probowałam spy botem i ad awarem teraz rowniez cw shredderem i co wykrywaja
mi jakies programy usuwaja ale zaraz po właczeniu kabla sieciowego znów sie
pojawiaja co robic chyba sie musze pozbyc tak wnioskuje czegos w rodzju hosts
files 69.20.16.183 ieautasearch i auto.search.msn.come i search.netscape.com
jak to wyrzucic ! jesli ktos choc coś troche zrozumiał prosze pomozcie
tymbardziej ze wyłacza mi sie komp co jakis czas samoczynnie nie wiem co jest
pozdrawiam

[m.gregor]

Po pierwsze: wiesz co to znaki przestankowe? W zyciu nie widzialem takiego
dluuuugiego zdania. Wiesz jak cos takiego sie trudno czyta? Czuje sie jak
deszyfrant w wojsku
Po drugie: wklej tu loga z HiJack This! i wtedy bedziemy gadac...

[Gość: magda]

Przepraszam rzeczywiscie ten moj post wyglada fatalnie,ale szczerze nie
myslałam ze ktos sie odezwie. Serdeczne dzieki i tak jak nakazałeś o to mój log
Logfile of HijackThis v1.98.2
Scan saved at 00:16:59, on 2002-12-11
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\WINNT\system32\?hkntfs.exe
C:\Program Files\Gadu-Gadu\Gadu-Gadu\gg.exe
C:\DOCUME~1\OLKAKR~1\USTAWI~1\Temp\Rar$EX00.833\HijackThis.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.wp.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no
file)
R3 - URLSearchHook: (no name) - _{CA0E28FA-1AFD-4C21-A8DC-70EB5BE2F076} - (no
file)
O1 - Hosts: earch
O1 - Hosts: earch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32
\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
Shared\ccApp.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86
\3\hpztsb05.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\Gadu-
Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [Hupvj] C:\WINNT\system32\?hkntfs.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office\OSA9.EXE
O10 - Unknown file in Winsock LSP: c:\winnt\system32\winlspak.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\winlspak.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\winlspak.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\winlspak.dll
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.iframedollars.biz
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.windupdates.com
Nic z tego nie rozumiem , lae mam nadzieje że ty tak!!!!!!

[m.gregor]

Ja do opuszczenia domu Wielkiej Siostry nominuje:
> C:\WINNT\system32\?hkntfs.exe
> O1 - Hosts: earch
> O1 - Hosts: earch
> O1 - Hosts: 69.20.16.183 ieautosearch
> O1 - Hosts: 69.20.16.183 ieautosearch
> O1 - Hosts: 69.20.16.183 ieautosearch
> O1 - Hosts: 69.20.16.183 ieautosearch
> O1 - Hosts: 69.20.16.183 auto.search.msn.com
> O1 - Hosts: 69.20.16.183 search.netscape.com
> O1 - Hosts: 69.20.16.183 ieautosearch
> O4 - HKCU\..\Run: [Hupvj] C:\WINNT\system32\?hkntfs.exe
> O10 - Unknown file in Winsock LSP: c:\winnt\system32\winlspak.dll
> O10 - Unknown file in Winsock LSP: c:\winnt\system32\winlspak.dll
> O10 - Unknown file in Winsock LSP: c:\winnt\system32\winlspak.dll
> O10 - Unknown file in Winsock LSP: c:\winnt\system32\winlspak.dll
> O15 - Trusted Zone: *.crazywinnings.com
> O15 - Trusted Zone: *.iframedollars.biz
> O15 - Trusted Zone: *.skoobidoo.com
> O15 - Trusted Zone: *.windupdates.com

Sciagnij i uruchom to:
www.spychecker.com/program/winsockxpfix.html
Potem zrestartuj komputer, przeskanuj jeszcze raz HiJack'iem i wklej loga.
Zobaczymy czy jeszcze cos nie zostalo :-)

[Gość: magda]

Wielki Bracie oto moj nowy log. Czy juz wszystko ok, moge spac spokojnie
Logfile of HijackThis v1.98.2
Scan saved at 12:17:21, on 2002-12-12
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Tlen.pl\tlen.exe
C:\Program Files\Gadu-Gadu\Gadu-Gadu\gg.exe
C:\Documents and Settings\Olka Krzystofik\Pulpit\Nowy folder\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.wp.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no
file)
R3 - URLSearchHook: (no name) - _{CA0E28FA-1AFD-4C21-A8DC-70EB5BE2F076} - (no
file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32
\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
Shared\ccApp.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86
\3\hpztsb05.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\Gadu-
Gadu\gg.exe" /tray
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office\OSA9.EXE

[Gość: magda]

chyba jednak spokojnie spać nie moge, strony internetowe nadal sie otwieraja a
po kolejnym zresetowaniu komputera okazało sie ze to cos co usunełam nadal sie
pojawia w logu sorki za zamieszanie
Logfile of HijackThis v1.98.2
Scan saved at 12:48:36, on 2002-12-12
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Tlen.pl\tlen.exe
C:\Program Files\Gadu-Gadu\Gadu-Gadu\gg.exe
C:\DOCUME~1\OLKAKR~1\USTAWI~1\Temp\Rar$EX00.603\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.wp.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no
file)
R3 - URLSearchHook: (no name) - _{CA0E28FA-1AFD-4C21-A8DC-70EB5BE2F076} - (no
file)
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32
\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
Shared\ccApp.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86
\3\hpztsb05.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\Gadu-
Gadu\gg.exe" /tray
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office\OSA9.EXE

czy da sie cos zrobic? czekam na odpowiedz

[Gość: Gulczasajakmyślisz]

Do wywalenia:

> R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no
> file)
> R3 - URLSearchHook: (no name) - _{CA0E28FA-1AFD-4C21-A8DC-70EB5BE2F076} - (no
> file)
> O1 - Hosts: 69.20.16.183 auto.search.msn.com
> O1 - Hosts: 69.20.16.183 search.netscape.com
> O1 - Hosts: 69.20.16.183 ieautosearch

[m.gregor]

I to by bylo na tyle...jesli nadal cos sie bedzie pojawiac to daj znac...

[Gość: magda]

Wielki Bracie usuwam te hosty czy jak je tam zwał ale zachwile znów się
pojawiają ! Czy jest jakaś nadzieja?????????????

[Gość: magda]

Jak je usunąc skoro hijackiem nie da rady????????

[m.gregor]

Dobra. To wejdz w Panel sterowania -> Dodaj usun programy i wypisz wszystko co
tam masz.

[Gość: piecyk gazowy]

A może przedtem jeszcze spróbować "zhijakować" w trybie awaryjnym? A może są
jakieś dziury w systemie i trzeba połatać? www.windowsupdate.com

[m.gregor]

Macie racje piecyk. Bedzie pochwala w komitecie centr. ;D

[Gość: magda]

I co jeżeli znalazł 30 aktualizacji krytycznych mam to wszystko zainstalować? a
jesli chodzi o hijackowanie to robiłam również w trybie awaryjnym i niestety
nie pomogło.

[netsec]

Przed aktualizacją najpierw trzeba naprawic system.
Ściągnij te pliki:

80.53.91.142/netsec/tools/Zone_map.zip
80.53.91.142/netsec/tools/windowsupdate_on.zip
80.53.91.142/netsec/tools/IErestore_fix.zip
Zamknij wszystkie okna Internet Explorer'a
Pojedynczo wypakuj każdy z plików kliknij i zatwierdź modyfikacje.
To są wpisy do rejestru przywracające oryginalne ustawienia systemu, które
zostały zmodyfikowane przez trojana.Jednym z elementów jest zmiana mapowania
stref w IE.

Wklej ponownie nowy log z HiJack.

[Gość: arek]

mam podobny problem jak magda. czy te pliki beda tez pasować do mojego systemu
win98. bo tez mi trojan napsuł i trzeba naprawić.

[Gość: magda]

Wszystkie wskazówki wykorzystłam i co hosty nadal nie usunięte log z hijacka
Logfile of HijackThis v1.98.2
Scan saved at 13:53:47, on 2004-12-13
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Tlen.pl\tlen.exe
C:\Program Files\Gadu-Gadu\Gadu-Gadu\gg.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\OLKAKR~1\USTAWI~1\Temp\Rar$EX00.842\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32
\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
Shared\ccApp.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86
\3\hpztsb05.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\Gadu-
Gadu\gg.exe" /tray
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office\OSA9.EXE
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

Jeśli ktoś wpadnie na pomysł jak się tego pozbyć to bede wdzieczna.

[Gość: arek]

Magda ma ten sam problem..zobacz wątek "trik na trojana", znalazłem go na
jakimś forum tylko nie wiem jak go zastosować

[Gość: magda]

Wydaje mi sie ze wszytko tam jest ok, ale skoro tak mowisz to juz pisze.
AC3Filter
AD-Aware SE Personal
Alcohol 120%
Archiwizator WinRAR
DivX Pro Codec
ffdshow
gadu gadu
Hijack
hp deskjet
infranViews
KAZAA
k-Lite Codec
Lan search pro
liveReg
livelUpdate
IE
Microsoft Office 2000 Professional
Norton AntiVirus
Nividia windows 2000/xp display divers
realtek ac'97 audio
tlen
via audio diver setup program
videoLAN VLC media player
winamp
XviD MPEG-4 Codec
Zoom Player

To wszytko jak widzisz wiele tego nie mam. Korzystajac z okazji spytam sie co
zrobić z kopiami tych plików które usunełam hijackiem czy można to wyrzucic.I
jeszcze jedno Wielki Bracie co jakis czas ( tzn czasami po 2 minutach od
właczenia koputera a czasmi po kilku godzinach albo wogóle ) gdy zaczynaja
otwierac mi sie rózne strony internetowe pojawia sie komunikat o błedzie i po
kilku sekundach komp sie wyłacza.
Dltego musze usunac te cholerne badziewie jak najszybciej usunać. Czekam na
dalsze instrukcje i pozdrawiam!

[m.gregor]

Po pierwsze: zainstaluj SP2 (albo przynajmniej wszystkie krytyczne poprawki z
www.windowsupdate.com)
Po drugie: powyzej masz podane jak naprawic system (post netsec'a - widac gosc
sie zna na rzeczy - ja bym na to nie wpadl)
Po trzecie: wywal KAZAA i zainstaluj Kazaa Lite - to wersja pozbawiona Adware
(oprogramowania szpiegowskiego).

[Gość: magda]

Wielki Bracie, Piecyku Gazowy, Netsec'u dziekuje za wszelki uwagi ale musze
przyznać ze kolejny raz odniosłam porażkę. Hosty nadal są pomimo wypełnienia
wszystkich waszych wskazówek . Moj obecny log z hijacka wygląda tak:
ogfile of HijackThis v1.98.2
Scan saved at 23:37:12, on 2004-12-13
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\WINNT\system32\rundll32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\OLKAKR~1\USTAWI~1\Temp\Rar$EX00.513\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32
\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
Shared\ccApp.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86
\3\hpztsb05.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\Gadu-
Gadu\gg.exe" /tray
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office\OSA9.EXE
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

Jak widać nic się nie zmieniło. Jeśli macie jeszcze jakieś pomysły na pozbycie
sie tego gó..... to zniecierpliwością czekam na propozycje! Pozdrawiam

[netsec]

Ściągnij nowy CWShredder 2.1
cwshredder.net/bin/CWShredder.exe
Zamknij wszystkie okna Internet Explorer'a
Uruchom ponownie HiJackThis wykonaj SCAN i zaznacz(haczykiem) te pozycje:

01 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch

Po zaznaczeniu wykonaj FIX CHECKED i potwierdź TAK/OK.

Uruchom CWShredder i wykonaj Fix.

Uruchom komputer ponownie.

Sciągnij i zainstaluj SpyBot Search & Destroy 1.3
download.chip.pl/download_116504.html
Po uruchomieniu postępuj zgodnie z tym co pojawia się na ekranie.
Przed instalacją programu zapoznaj się z instrukcja PL online:
spybot.safer-networking.de/pl/tutorial/index.html
Przeskanuj SpyBot cały system i usuń wszystkie śmieci.

Dodatkowo ściągnij i zainstaluj SpywareBlaster 3.2
Tu masz opis programu:
forum.gazeta.pl/forum/72,2.html?f=23618&w=16148176&wv.x=2&a=18183530
a tu jak poprawnie Instalować i aktualizować:
forum.gazeta.pl/forum/72,2.html?f=23618&w=16148176&wv.x=2&a=18214375
Zaktualizuj Nortona Antywirusa aktualizacją offline:
definitions.symantec.com/defs/20041213-009-i32.exe
Po tym sprawdź w głownym oknie Nortona czy data bazy jest z 2004-12-13.
Przeskanuj Nortonem cały system

Po wszystkim wklej log Startuplist.
W tym celu uruchom ponownie HiJackThis przejdź do Config później do Misc Tools i
kliknij Generate StartupList log.Program zapyta czy wygenerować listę, potwierdź
a zawartość listy wklej na forum.

Dla porównania w oddzielnym poście wklej również nowy log z HiJackThis.

[Gość: magda]

I tak jak myślałam hijac usuwa te hosty ale tylko na chwile po zresetowniu
komputera lub połączeniu z netem powracają, przeskanowałami spybotem
zaintalowałam spywara i przeskanowałam zaktualizowanym nortonem.
Zrobiłam wszystko według instrucji i czekam na dalsze porady
tak wygląda startuplist a log z hijacka w kolejnym poscie
StartupList report, 2003-12-14, 18:00:05
StartupList version: 1.52.2
Started from : C:\DOCUME~1\OLKAKR~1\USTAWI~1\Temp\Rar$EX00.714\HijackThis.EXE
Detected: Windows 2000 SP4 (WinNT 5.00.2195)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\OLKAKR~1\USTAWI~1\Temp\Rar$EX00.714\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Documents and Settings\All Users\Menu Start\Programy\Autostart]
Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINNT\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Synchronization Manager = mobsync.exe /logon
SoundMan = SOUNDMAN.EXE
NvCplDaemon = RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
nwiz = nwiz.exe /install
ccApp = "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
HPDJ Taskbar Utility = C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb05.exe
WinampAgent = C:\Program Files\Winamp\winampa.exe
SSC_UserPrompt = C:\Program Files\Common Files\Symantec Shared\Security
Center\UsrPrmpt.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Komunikator = C:\Program Files\Tlen.pl\tlen.exe
Gadu-Gadu = "C:\Program Files\Gadu-Gadu\Gadu-Gadu\gg.exe" /tray

--------------------------------------------------

Shell & screensaver key from C:\WINNT\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Task Scheduler jobs:

Symantec NetDetect.job

--------------------------------------------------

Enumerating Download Program Files:

[Update Class]
InProcServer32 = C:\WINNT\System32\iuctl.dll
CODEBASE = v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?
37940.1754166667

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

Network.ConnectionTray: C:\WINNT\system32\NETSHELL.dll
WebCheck: C:\WINNT\system32\webcheck.dll
SysTray: stobject.dll

--------------------------------------------------
End of report, 4 326 bytes
Report generated in 0,060 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

[Gość: magda]

logfile of HijackThis v1.98.2
Scan saved at 17:59:31, on 2003-12-14
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\OLKAKR~1\USTAWI~1\Temp\Rar$EX00.714\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 search.netscape.com
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32
\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
Shared\ccApp.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86
\3\hpztsb05.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec
Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\Gadu-
Gadu\gg.exe" /tray
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office\OSA9.EXE
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

[m.gregor]

Dla angielskojezycznych ktorzy moga jej to przetlumaczyc:
computercops.biz/postp392743.html
Tu jest sposob na wywalenie tego swinstwa...

[netsec]

Czy kaza została odinstalowana.
Jeśli tak, to oczyść system, poczytaj co Kaza zostawia w systemie
www.searchengines.pl/phpbb203/index.php?showtopic=16318

[Gość: magda]

Mam kazaa lite k++ i z tego co czytałam to jest bezpieczna wersja wiec nie wiem
co robić. Jak radzisz wyrzucic to to zrobie ale nie wiem czy jest sens. Czekam
na odpowiedz.A i jeszce jedna sprawa chodzi o link polecony przez m.gregora
gdzie umieszczony jest sposób na pozbycie sie tego świństwa. Znam troche
angielski ale wolalabym mięć wersje przetłumaczona przez profesjonaliste bo
troche sie boje. Pozdrawiam

[netsec]

Czy przed tą wersją Kazy miałaś zainstalowaną inną, lub inny program P2P?

[Gość: magda]

[Gość: magda]

Jeśli chodzi o kaaze to nie miała innej wersji. Natomiast jakis czas temu miała
zainstalownego na krotko bo chyba kilka dni emula lub edonkeya (juz nie
pamietam co to było dokładnie ale napewno którys z tych dwoch programów)Co mam
wiec robić? Czekam na odpowiedz albo podpowiedz i pozdrawiam!

[netsec]

Wklej raz jeszcze logi z Startuplist i Hijack.

[Gość: magda]

StartupList report, 2003-12-19, 12:35:17
StartupList version: 1.52.2
Started from : C:\DOCUME~1\OLKAKR~1\USTAWI~1\Temp\Rar$EX00.472\HijackThis.EXE
Detected: Windows 2000 SP4 (WinNT 5.00.2195)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\OLKAKR~1\USTAWI~1\Temp\Rar$EX00.472\HijackThis.exe
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Documents and Settings\All Users\Menu Start\Programy\Autostart]
Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINNT\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Synchronization Manager = mobsync.exe /logon
SoundMan = SOUNDMAN.EXE
NvCplDaemon = RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
nwiz = nwiz.exe /install
ccApp = "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
HPDJ Taskbar Utility = C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb05.exe
WinampAgent = C:\Program Files\Winamp\winampa.exe
SSC_UserPrompt = C:\Program Files\Common Files\Symantec Shared\Security
Center\UsrPrmpt.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Komunikator = C:\Program Files\Tlen.pl\tlen.exe
Gadu-Gadu = "C:\Program Files\Gadu-Gadu\Gadu-Gadu\gg.exe" /tray

--------------------------------------------------

Shell & screensaver key from C:\WINNT\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Task Scheduler jobs:

Symantec NetDetect.job

--------------------------------------------------

Enumerating Download Program Files:

[Update Class]
InProcServer32 = C:\WINNT\System32\iuctl.dll
CODEBASE = v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?
37940.1754166667

[MainControl Class]
InProcServer32 = C:\WINNT\system32\SkanerOnline.dll
CODEBASE = skaner.mks.com.pl/SkanerOnline.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

Network.ConnectionTray: C:\WINNT\system32\NETSHELL.dll
WebCheck: C:\WINNT\system32\webcheck.dll
SysTray: stobject.dll

--------------------------------------------------
End of report, 4 576 bytes
Report generated in 0,070 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

[Gość: magda]

Logfile of HijackThis v1.98.2
Scan saved at 12:34:25, on 2003-12-19
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\OLKAKR~1\USTAWI~1\Temp\Rar$EX00.772\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.onet.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32
\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
Shared\ccApp.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86
\3\hpztsb05.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec
Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\Gadu-
Gadu\gg.exe" /tray
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office\OSA9.EXE
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab

[netsec]

Trochę to trwało ale tu masz opis jak rozwiązać problem, mam nadzieje że sobie
poradzisz :)
www.searchengines.pl/phpbb203/index.php?showtopic=12510&st=0&p=109496&#entry109496

[Gość: magda]

wykorzystałam link podany przez netseca i z wielki trudem recznie i przy uzyciu
innych programów pozbyłam sie większości gada. Pozostaje mi jeszce usuniecie
wpisów vx2 z rejestru. Zgodnie z instrukcja tworze własny plik czyszczacy ale
fix.reg, ale po ponownym odpaleniu find it log sie nie zmienia. Czyli badziewie
nadal siedzi a po resecie kompa zmienia nazwe. Co robić i jak prosze o pomoc!
Na poczatek log z find it
Warning! This utility will find legitimate files in addition to malware.
Do not remove anything unless you are sure you know what you're doing.

-----

[Gość: magda]

I log z hijacka
Logfile of HijackThis v1.98.2
Scan saved at 16:42:05, on 2004-01-14
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt. exe
C:\WINNT\system32\svchost.exe
C:\WINNT\SOUNDMAN.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINNT\system32\spool\drivers \w32x86\3\hpztsb05.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Tlen.pl\tlen.exe
C:\Program Files\Gadu-Gadu\Gadu-Gadu\gg.ex e
C:\WINNT\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\OLKAKR~1\USTAWI~1\T emp\Rar$EX00.973\HijackThis.exe

R0 - HKCU\Software\Microsoft\Interne t Explorer\Toolbar,LinksFolderNam e =
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF 00B1D6} -
C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9 082467} -
C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32
\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
Shared\ccApp.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers \w32x86
\3\hpztsb05.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec
Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\Gadu-
Gadu\gg.exe" /tray
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office\OSA9.EXE
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE 20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab
HELP ME !!!!!!!!!!!!!!!!!!!!!!!!!!