Mam kilka trojanów i nie mogę ich usunąć.

[anna852]

Mam kilka trojanów (m.in. trojan.startpage.mz, heur.dialer.generic.1, trojan.qhost.k)i nie mogę się ich pozbyć. Skaner mks usuwa je tylko na jakiś czas. Po restarcie kompa wszystko powraca. Proszę pomóżcie. Log z hijacka:
Logfile of HijackThis v1.99.0
Scan saved at 21:43:46, on 2004-12-26
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\MKS\Bin\NetMonSV.exe
C:\Program Files\MKS\Bin\mksmonsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Softex\winroute\WinRServ.exe
C:\Program Files\Softex\winroute\WinRoute.exe
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Sprint & FineReader 5.0 Office Try&Buy\Sprint\CAgent.exe
C:\WINDOWS\SOINTGR.EXE
C:\Program Files\Sony Ericsson\Wireless Manager\GCXXManager.exe
C:\Program Files\MKS\Bin\mks_menu.exe
C:\Program Files\MKS\Bin\ABregmon.exe
C:\WINDOWS\System32\l?ass.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MKS\Bin\mks_scan.exe
C:\Documents and Settings\Anna\Pulpit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {86EECD4A-50FB-577A-DC6E-0DC53F784091} - C:\WINDOWS\System32\lanc.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [EasyDates] C:\Program Files\ComSoft\Dialers\EasyDates\EasyDates.exe /dontdial
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [ABBYY Community Agent] C:\Program Files\Sprint & FineReader 5.0 Office Try&Buy\Sprint\CAgent.exe
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] "C:\Program Files\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe"
O4 - HKLM\..\Run: [GCXX-Manager-Class] "C:\Program Files\Sony Ericsson\Wireless Manager\GCXXManager.exe" -startup
O4 - HKLM\..\Run: [MKS_MENU] C:\Program Files\MKS\Bin\mks_menu.exe
O4 - HKLM\..\Run: [ABREGMON] C:\Program Files\MKS\Bin\ABregmon.exe
O4 - HKCU\..\Run: [LPIv1x] C:\Program Files\LPIv1.7\net_timer.exe
O4 - HKCU\..\Run: [caronte] C:\WINDOWS\System32\caronte.exe
O4 - HKCU\..\Run: [Egdskk] C:\WINDOWS\System32\l?ass.exe
O4 - Startup: Desktop Calendar StartUp.lnk = ?
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O15 - Trusted IP range: 69.50.161.82
O15 - Trusted IP range: 69.50.161.82 (HKLM)
O16 - DPF: {37A49D66-2735-4BB9-8503-82BA5E2333D0} (MailCfg Control) - poczta.wp.pl/autoryzacja/mailcfg.ocx
O16 - DPF: {67135BDA-6546-4426-BC94-BB5AF5005231} (GameDesire Checkers) - 67.15.101.3/g_bin/pl/checkers_2_0_0_15.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - www.mt-download.com/MediaTicketsInstaller.cab?refid=2732
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Program Files\HP\hpcoretech\comp\hpuiprot.dll
O21 - SSODL: eplrr - {7B221EE2-21AD-42F5-8B19-083EA31CA3F3} - C:\WINDOWS\System32\eplrr3.dll
O23 - Service: ArcaBit NetMonitor - ArcaBit sp. z o.o. - C:\Program Files\MKS\Bin\NetMonSV.exe
O23 - Service: MkSUpdateInt - MkS Sp. z o. o. - C:\Program Files\MKS\bin\MkSUpdateInt.exe
O23 - Service: MkS_Vir Monitor - Unknown - C:\Program Files\MKS\Bin\mksmonsv.exe
O23 - Service: MkS_Scan - Unknown - C:\Program Files\MKS\Bin\mks_scan.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Softex WinRoute Service - Unknown - C:\Program Files\Softex\winroute\WinRServ.exe

Jak się pozbyć tych trojanów??

[Gość: piecyk gazowy]

Zaznacz poniższe pozycje i wciśnij Fix Checked:

F2 - REG:system.ini: Shell=explorer.exe

O2 - BHO: (no name) - {86EECD4A-50FB-577A-DC6E-0DC53F784091} -
C:\WINDOWS\System32\lanc.dll

O4 - HKLM\..\Run: [EasyDates] C:\Program
Files\ComSoft\Dialers\EasyDates\EasyDates.exe /dontdial

O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE

O4 - HKCU\..\Run: [LPIv1x] C:\Program Files\LPIv1.7\net_timer.exe
O4 - HKCU\..\Run: [caronte] C:\WINDOWS\System32\caronte.exe
O4 - HKCU\..\Run: [Egdskk] C:\WINDOWS\System32\l?ass.exe

O15 - Trusted IP range: 69.50.161.82
O15 - Trusted IP range: 69.50.161.82 (HKLM)

O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller
Control) - www.mt-download.com/MediaTicketsInstaller.cab?refid=2732

O21 - SSODL: eplrr - {7B221EE2-21AD-42F5-8B19-083EA31CA3F3} -
C:\WINDOWS\System32\eplrr3.dll

O23 - Service: Softex WinRoute Service - Unknown - C:\Program
Files\Softex\winroute\WinRServ.exe

Potem wklej loga jeszcze raz.

[anna852]

Po usunieciu logów:
Logfile of HijackThis v1.99.0
Scan saved at 22:39:26, on 2004-12-26
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\MKS\Bin\NetMonSV.exe
C:\Program Files\MKS\Bin\mksmonsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Sprint & FineReader 5.0 Office Try&Buy\Sprint\CAgent.exe
C:\Program Files\Sony Ericsson\Wireless Manager\GCXXManager.exe
C:\Program Files\MKS\Bin\mks_menu.exe
C:\Program Files\MKS\Bin\ABregmon.exe
C:\Program Files\MKS\Bin\mks_scan.exe
C:\Program Files\Opera\Opera.exe
C:\Documents and Settings\Anna\Pulpit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [ABBYY Community Agent] C:\Program Files\Sprint & FineReader 5.0 Office Try&Buy\Sprint\CAgent.exe
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] "C:\Program Files\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe"
O4 - HKLM\..\Run: [GCXX-Manager-Class] "C:\Program Files\Sony Ericsson\Wireless Manager\GCXXManager.exe" -startup
O4 - HKLM\..\Run: [MKS_MENU] C:\Program Files\MKS\Bin\mks_menu.exe
O4 - HKLM\..\Run: [ABREGMON] C:\Program Files\MKS\Bin\ABregmon.exe
O4 - HKCU\..\Run: [LPIv1x] C:\Program Files\LPIv1.7\net_timer.exe
O4 - Startup: Desktop Calendar StartUp.lnk = ?
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {37A49D66-2735-4BB9-8503-82BA5E2333D0} (MailCfg Control) - poczta.wp.pl/autoryzacja/mailcfg.ocx
O16 - DPF: {67135BDA-6546-4426-BC94-BB5AF5005231} (GameDesire Checkers) - 67.15.101.3/g_bin/pl/checkers_2_0_0_15.cab
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Program Files\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: ArcaBit NetMonitor - ArcaBit sp. z o.o. - C:\Program Files\MKS\Bin\NetMonSV.exe
O23 - Service: MkSUpdateInt - MkS Sp. z o. o. - C:\Program Files\MKS\bin\MkSUpdateInt.exe
O23 - Service: MkS_Vir Monitor - Unknown - C:\Program Files\MKS\Bin\mksmonsv.exe
O23 - Service: MkS_Scan - Unknown - C:\Program Files\MKS\Bin\mks_scan.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Podejrzewam że:
O4 - HKCU\..\Run: [LPIv1x] C:\Program Files\LPIv1.7\net_timer.exe
jest od licznika połączeń internetowych dlatego go nie usunęłam.
Kilka trojanów jest nadal: Trojan.downloader.20014.mx oraz Trojan.Trojandropper.Small.Lf wykryte przez mks po restarcie kompa.

[Gość: piecyk gazowy]

anna852 napisała:

> Podejrzewam że:
> O4 - HKCU\..\Run: [LPIv1x] C:\Program Files\LPIv1.7\net_timer.exe
> jest od licznika połączeń internetowych dlatego go nie usunęłam.

Bardzo słusznie. Plik wydawał mi się mocno podejrzany (nie wszystkie znam).
Google też nie za wiele linków o nim wyrzuca. Miło współpracować z inteligentną
Jednostką! ;-)

> Kilka trojanów jest nadal: Trojan.downloader.20014.mx oraz
Trojan.Trojandropper
> .Small.Lf wykryte przez mks po restarcie kompa.

OK, ale da się je usunąć? Jeśli tak, usuwaj, bo log wygląda czysto.

Czysto, ale parę rzeczy można wyrzucić:

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01
\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP
Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program
Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32
\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital
Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [ABBYY Community Agent] C:\Program Files\Sprint & FineReader
5.0 Office Try&Buy\Sprint\CAgent.exe
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] "C:\Program Files\ABBYY FineReader
7.0 Professional
Edition\AbbyyNewsReader.exe"

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Program
Files\Java\j2re1.4.2_01\bin\npjpi142_01.dll

Wyrzucaj wszystko, ew. później te wpisy można będzie przywrócić. Jedyne
co "istotnego" stracisz to "pomocniki" drukarkowe - według mnie całkowcie
zbędne.

Poza tym włącz zaporę:
www.banita.pl/konf/smbfirewallxp01.jpg
www.banita.pl/konf/smbfirewallwinxp.html
i w najbliższym czasie zainstaluj wszystkie poprawki o wysokim priorytecie ze
strony www.windowsupdate.com

Poprawka

[Gość: piecyk gazowy]

Gość portalu: piecyk gazowy napisał(a):

> i w najbliższym czasie zainstaluj wszystkie poprawki o wysokim priorytecie ze
> strony www.windowsupdate.com

Właśnie uzmysłowiłem sobie, że chyba "jedziesz" na modemie, w takim razie
możesz to sobie odpuścić, ew. jeśli chcesz, ściągnij u kolegi, w pracy, w
kawiarencie internetowej itp. Service Packa 2 i go zainstaluj:
download.microsoft.com/download/a/c/7/ac78df4d-59cc-4e25-b4d7-94598a149719/WindowsXP-KB835935-SP2-PLK.exe

Można też kupić jakąś gazetę z płytą, na której jest SP 2.

Jeśli masz nieoficjalną ;-) wersję Windowsa, to mogą być problemy z instalacją
Service Packa.

[anna852]

> Właśnie uzmysłowiłem sobie, że chyba "jedziesz" na modemie, w takim razie
> możesz to sobie odpuścić, ew. jeśli chcesz, ściągnij u kolegi, w pracy, w
> kawiarencie internetowej itp. Service Packa 2 i go zainstaluj:
> download.microsoft.com/download/a/c/7/ac78df4d-59cc-4e25-b4d7-94598a149719/WindowsXP-KB835935-SP2-PLK.exe

Co do SP2 to nie ma problemu, bo co prawda "jadę" na modemie ale to stałka z Idei. (Modem PCMCIA). Dzięki za podpowiedź.

A co do wirusów to nie mogę ich usunąć. Mks po każdym restarcie kompa pokazuje że znalazł wirusy: Trojan. Downloader.20014.Mx, Trojan.StartPage.Mz, Trojan.TrojanDropper.Small.Lf. Za każdym razem wyrzucam pliki ale to "działa" tylko do czasu gdy nie zrestartuję kompa. Do usuniecia używałam także CWShredder-a oraz wszelkich możliwych szczepionek. Zawsze jest to samo. Dodatkowo jeszcze wyskakuje mi puste okienko dososkie ze ścieżką c:\Windows\system32\tmpf04.exe. Plik ten też usuwałam (ręcznie) z systemu ale za każdym razem chyba się "odnawia".

[Gość: piecyk gazowy]

W Sieci niewiele jest na temat "Twoich" trojanów. Wklej jeszcze raz aktualnego
loga.

[anna852]

Oto mój aktualny log (wydaje się być "czysty"):
Logfile of HijackThis v1.99.0
Scan saved at 20:41:10, on 2004-12-28
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\MKS\Bin\NetMonSV.exe
C:\Program Files\MKS\Bin\mksmonsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Sprint & FineReader 5.0 Office Try&Buy\Sprint\CAgent.exe
C:\Program Files\MKS\Bin\ABregmon.exe
C:\Program Files\Sony Ericsson\Wireless Manager\GCXXManager.exe
C:\Program Files\MKS\Bin\mks_scan.exe
C:\Program Files\Opera\Opera.exe
C:\Documents and Settings\Anna\Pulpit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [ABBYY Community Agent] C:\Program Files\Sprint & FineReader 5.0 Office Try&Buy\Sprint\CAgent.exe
O4 - HKLM\..\Run: [MKS_MENU] C:\Program Files\MKS\Bin\mks_menu.exe
O4 - HKLM\..\Run: [ABREGMON] C:\Program Files\MKS\Bin\ABregmon.exe
O4 - HKLM\..\Run: [GCXX-Manager-Class] "C:\Program Files\Sony Ericsson\Wireless Manager\GCXXManager.exe" -startup
O4 - HKCU\..\Run: [LPIv1x] C:\Program Files\LPIv1.7\net_timer.exe
O4 - Startup: Desktop Calendar StartUp.lnk = ?
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {37A49D66-2735-4BB9-8503-82BA5E2333D0} (MailCfg Control) - poczta.wp.pl/autoryzacja/mailcfg.ocx
O16 - DPF: {67135BDA-6546-4426-BC94-BB5AF5005231} (GameDesire Checkers) - 67.15.101.3/g_bin/pl/checkers_2_0_0_15.cab
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Program Files\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: ArcaBit NetMonitor - ArcaBit sp. z o.o. - C:\Program Files\MKS\Bin\NetMonSV.exe
O23 - Service: MkSUpdateInt - MkS Sp. z o. o. - C:\Program Files\MKS\bin\MkSUpdateInt.exe
O23 - Service: MkS_Vir Monitor - Unknown - C:\Program Files\MKS\Bin\mksmonsv.exe
O23 - Service: MkS_Scan - Unknown - C:\Program Files\MKS\Bin\mks_scan.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Wydaje mi się że te wirusy po wykasowaniu "powracają" gdy połączę się z internetem. Może jest to związane z tym że nie mogę włączyć zapory połączenia internetowego. Nie wiem dlaczego tak się dzieje. Gdy zaznaczam "Chroń mój komputer i moją sieć, ..." i robię OK, to wyskakuje mi takie okienko: Podczas włączania Udostępniania połączenia internetowego wystąpił błąd. Określona usługa nie istnieje jako usługa zainstalowana. Czy może to być związane z SP1 czy SP2? Ja nie mogę ich zainstalować (z wiadomych powodów). A może jest jakiś sposób aby zainstalować na takim systemie SP1 i SP2?

[Gość: piecyk gazowy]

anna852 napisała:

> Wydaje mi się że te wirusy po wykasowaniu "powracają" gdy połączę się z
interne
> tem.

No właśnie. A wcześniej pisałaś, że po zrestartowaniu systemu. ;-)

> Może jest to związane z tym że nie mogę włączyć zapory połączenia internet
> owego. Nie wiem dlaczego tak się dzieje. Gdy zaznaczam "Chroń mój komputer i
mo
> ją sieć, ..." i robię OK, to wyskakuje mi takie okienko: Podczas włączania
Udos
> tępniania połączenia internetowego wystąpił błąd. Określona usługa nie
istnieje
> jako usługa zainstalowana. Czy może to być związane z SP1 czy SP2?

Nie. Spotkałem się z czymś takim, ale nie wiem, dlaczego ta opcja nie działa,
być może system jest "nadszarpnięty".

> Ja nie mogę
> ich zainstalować (z wiadomych powodów). A może jest jakiś sposób aby zainstalo
> wać na takim systemie SP1 i SP2?

Jest sposób. Musisz zmienić nr. Tu jest instrukcja (krok 3):
howto.pl/modules.php?name=Content&pa=showpage&pid=16

Przed zmianą numeru i po sprawdź jaki masz, np. tym programem:
www.heisig-it.de/pages/viewkeyxp.exe
Czasem zmiana numeru się nie powodzi (jak coś, dasz znać). Jeśli się uda,
możesz instalować SP 2.

Przy okazji - wyrzuciłbym jeszcze parę zbędnych rzeczy (głównie "pomocniki"
drukarki HP), które niepotrzebnie obciążają system:

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP
Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program
Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32
\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital
Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [ABBYY Community Agent] C:\Program Files\Sprint & FineReader
5.0 Office Try&Buy\Sprint\CAgent.exe

O4 - Startup: Desktop Calendar StartUp.lnk = ?

Brak linku? Jest ten program czy nie? Jeśli nie, usuń tę pozycję, bo to zbędny
wpis.

[anna852]

Dzięki za podpowiedź o SP. Zainstalowałam bez żadnych problemów. Nawet zapora
połączenia internetowego aktywowała się "sama" po zainstalowaniu SP2.
Jeśli chodzi o:
> O4 - Startup: Desktop Calendar StartUp.lnk = ?
>
> Brak linku? Jest ten program czy nie? Jeśli nie, usuń tę pozycję, bo to zbędny
> wpis.
to program ten jest i działa. (jest to kalendarz na pulpicie)

Ale zainstalowanie SP1 i SP2 nie rozwiązało mojego problemu. Wirusy nadal
"pojawiają się" gdy tylko wejdę do Internetu. Dokąd nie uaktywnię połączenia
internetowego wszystko jest OK. Nie wiem co już z tym zrobić. Może coś mi
jeszcze podpowiesz?? Dodam że za każdym razem wykasowuję pliki zawirusowane oraz
dodatkowe pliki które tworzy dany wirus.

[Gość: piecyk gazowy]

Wyłącz przywracanie systemu; krótki opis:
www.gdata.pl/pl/support/avk12_pyt6.html

Zrestartuj system, połącz się i zobacz, czy coś się zmieniło.

Sprawa o tyle dziwna, że wirusy uaktywniają się po połączeniu z Internetem; są
dwie możliwości:
1. wirusy zalegają "ukryte" na dysku i się uaktywniają w momencie połączenia
(tylko nie wiadomo dlaczego),
2. w momencie połączenia wirusy przenikają do systemu, co się wydaje prawie
niemożliwe ze względu na zaporę (nie powinna przepuścić) i łaty,
3. pod jakiś "pożyteczny" program "podpięty" jest "podprogram", który ściąga i
i uruchamia wirusy, ale coś takiego (czyli trojana) powinien wykryć program
antywirusowy.

Wersje pierwsza i druga wydają się mi mało prawdopodobne. Trzecia grubymi nićmi
szyta, ale niewykluczona. Sprawa rodem z archiwum X! ;-) Przy okazji nie
zaszkodzi wejść na www.windowsupdate.com i zainstalować wszystkie
dostępne poprawki o wysokim priorytecie (jeśli takie jeszcze są).

Może jeszcze ściągnij i uruchom, polecany tu przez Netseca skrypt Silent
Runners: www.silentrunners.org/Silent%20Runners.vbs

Skrypt wygeneruje plik tekstowy, którego zawartość wklej tu na forum. Może on
coś pokaże...

[anna852]

Wyłączenie przywracania systemu nic nie dało. Wirusy uaktywniają się nadal po
wejściu do internetu. Oto co wygenerował skrypt:

"Silent Runners.vbs", revision 28, launched at: 21:15
Output limited to non-default values, except where indicated by "{++}"
Operating System: Windows XP SP2


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"LPIv1x" = "C:\Program Files\LPIv1.7\net_timer.exe" ["P. Rusiecki e-mail:
przemek@rusiecki.com"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"Ibs" = "C:\WINDOWS\ibs.exe" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"MKS_MENU" = "C:\Program Files\MKS\Bin\mks_menu.exe" ["MKS Sp. z o.o."]
"ABREGMON" = "C:\Program Files\MKS\Bin\ABregmon.exe" [empty string]
"GCXX-Manager-Class" = ""C:\Program Files\Sony Ericsson\Wireless
Manager\GCXXManager.exe" -startup" ["Broadcom Corporation"]

HKLM\Software\Microsoft\Active Setup\Installed Components\
">{26923b43-4d38-484f-9b9e-de460746276c}\(Default)" = "Internet Explorer"
\StubPath =
"C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigIE" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class"
-> resolves to: {CLSID}\InprocServer32\(Default) = "C:\Program
Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems
Incorporated"]
{A5366673-E8CA-11D3-9CD9-0090271D075B}\(Default) = "IeCatch2 Class"
-> resolves to: {CLSID}\InprocServer32\(Default) =
"C:\PROGRA~1\FLASHGET\jccatch.dll" ["Amaze Soft"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania
wyświetlania"
-> CLSID InProcServer32 resolves to: "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"
-> CLSID InProcServer32 resolves to: "C:\WINDOWS\System32\hticons.dll"
["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> CLSID InProcServer32 resolves to:
"C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Eksplorator pulpitów"
-> CLSID InProcServer32 resolves to: "C:\WINDOWS\System32\nvshell.dll"
["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> CLSID InProcServer32 resolves to: "C:\WINDOWS\System32\nvshell.dll"
["NVIDIA Corporation"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> CLSID InProcServer32 resolves to: "C:\Program Files\WinRAR\rarext.dll"
[null data]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> CLSID InProcServer32 resolves to: "C:\PROGRA~1\WinZip\WZSHLSTB.DLL"
["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> CLSID InProcServer32 resolves to: "C:\PROGRA~1\WinZip\WZSHLSTB.DLL"
["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> CLSID InProcServer32 resolves to: "C:\PROGRA~1\WinZip\WZSHLSTB.DLL"
["WinZip Computing, Inc."]
"{52B87208-9CCF-42C9-B88E-069281105805}" = "Trojan Remover Shell Extension"
-> CLSID InProcServer32 resolves to: "C:\PROGRA~1\TROJAN~1\Trshlex.dll" [file
not found]
"{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Uniwersalne urządzenia Plug and Play"
-> CLSID InProcServer32 resolves to: "C:\WINDOWS\system32\upnpui.dll" [MS]

Z tym że pojawia się podczas generacji takie okienko:
Skrypt: c:\Silent Runners.vbs
Wiersz: 3517
Znak: 1
Błąd: Nieprawidłowe użycie
Kod: 800A005E Null
Źródło: Microsoft VBScripc - błąd czasu wykonywania

Dlatego nie wiem czy skrypt ten wykonał się do końca.

Co do poprawek to chyba wszystkie sciągnęłam.

Poprawka

[anna852]

Znalazłam w sieci poprawiony Silent Runners (nie pojawia się już komunikat o
błędzie)

"Silent Runners.vbs", revision 27, launched at: 10:36
Operating System: Windows XP SP2


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
"LPIv1x" = "C:\Program Files\LPIv1.7\net_timer.exe" ["P. Rusiecki e-mail:
przemek@rusiecki.com"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\
"Ibs" = "C:\WINDOWS\ibs.exe" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"MKS_MENU" = "C:\Program Files\MKS\Bin\mks_menu.exe" ["MKS Sp. z o.o."]
"ABREGMON" = "C:\Program Files\MKS\Bin\ABregmon.exe" [empty string]
"GCXX-Manager-Class" = ""C:\Program Files\Sony Ericsson\Wireless
Manager\GCXXManager.exe" -startup" ["Broadcom Corporation"]
"ABBYY Community Agent" = "C:\Program Files\Sprint & FineReader 5.0 Office
Try&Buy\Sprint\CAgent.exe" ["ABBYY (BIT Software)"]

HKLM\Software\Microsoft\Active Setup\Installed Components\
"){22d6f312-b0f6-11d0-94ab-0080c74c7e95}\(Default)" = "Windows Media Player"
\StubPath =
"C:\WINDOWS\INF\unregmp2.exe /ShowWMP" [MS]
"){26923b43-4d38-484f-9b9e-de460746276c}\(Default)" = "Internet Explorer"
\StubPath =
"C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigIE" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class"
-) resolves to: {CLSID}\InprocServer32\(Default) = "C:\Program
Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems
Incorporated"]
{A5366673-E8CA-11D3-9CD9-0090271D075B}\(Default) = "IeCatch2 Class"
-) resolves to: {CLSID}\InprocServer32\(Default) =
"C:\PROGRA~1\FLASHGET\jccatch.dll" ["Amaze Soft"]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"PostBootReminder" = "{7849596a-48ea-486e-8937-a2a3009f31a9}"
-) resolves to: {CLSID}\InprocServer32\(Default) =
"C:\WINDOWS\system32\SHELL32.dll" [MS]
"CDBurn" = "{fbeb8a05-beee-4442-804e-409d6c4515e9}"
-) resolves to: {CLSID}\InprocServer32\(Default) =
"C:\WINDOWS\system32\SHELL32.dll" [MS]
"WebCheck" = "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
-) resolves to: {CLSID}\InprocServer32\(Default) = ** WARNING

[Gość: piecyk gazowy]

> HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
> INFECTION WARNING! "iexplore\DLLName" = "Awgxw.dll" [null data]

Nie wiem, czy to to, ale prawdopodobieństwo jest duże.

Sprawdź czy masz plik Awgxw.dll (np. przez Start -> Wyszukaj). Powinien być w
folderach C:\Windows lub C:\Windows\system32 lub C:\Windows\system. Jeśli
znajdziesz, spróbuj go usunąć.

Czy się uda czy nie, uruchom edytor rejestru - Start -> Uruchom:
regedit

Wciśnij F3, wpisz Awgxw.dll i wyszukaj. Jeśli znajdziesz jakiś wpis, usuń,
ponownie wciśnij F3 - wyszukuj i kasuj wpisy do końca (choć prawdopodobnie
więcej nie będzie). Potem zrestartuj system.

[anna852]

> > HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
> > INFECTION WARNING! "iexplore\DLLName" = "Awgxw.dll" [null data]
>
> Nie wiem, czy to to, ale prawdopodobieństwo jest duże.

I to chyba było TO. Po wykasowaniu pliku i trzech wpisów z regedit, po restarcie
kompa jest chyba nareszcie wszystko OK. Bynajmniej do tej pory nie miałam
monitów o trojanach.
WIELKIE DZIĘKI ZA POMOC I WYTRWAŁOŚĆ.
Jak by coś było źle to jeszcze się odezwę.
Narazie jeszcze raz DZIĘKI.
Pozdrawiam.

[Gość: tata1959]

witam
c:\Windows\system32\tmpf04.exe. -wyłącz przywracanie systemu,tryb awaryjny i
wtedy usuń ten plik.
pozdrawiam