Hijack - czy wszystko ok?

IP: *.internetdsl.tpnet.pl 30.12.04, 18:10
Proszę o sprawdzenie, niepokoi mnie, ze po włączeniu komputera automatyczne
otwiera się Internet

Logfile of HijackThis v1.97.7
Scan saved at 18:06:09, on 2004-12-30
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\System32\spxcsk.exe
C:\WINDOWS\LiveChatut.exe
C:\Program Files\Windows AdControl\WinAdCtl.exe
C:\Program Files\Windows TaskAd\WinTaskAd.exe
C:\Program Files\Windows ControlAd\WinCtlAd.exe
C:\Program Files\Admilli Service\AdmilliServ.exe
C:\Program Files\Windows AdControl\WinAdAlt.exe
C:\Program Files\Lexmark 2200 Series\lxbvbmgr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Windows ControlAd\WinCtlAdAlt.exe
C:\Program Files\Windows TaskAd\WinSched.exe
C:\Program Files\Lexmark 2200 Series\lxbvbmon.exe
C:\Program Files\D-Link AirPlus\AirPlus.exe
C:\Program Files\Admilli Service\AdmilliKeep.exe
C:\Program Files\Microsoft Office\Office\1045\OLFSNT40.EXE
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.onet.pl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
www.findin.org/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
www.findin.org/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - (no
file)
O2 - BHO: (no name) - {00320615-B6C2-40A6-8F99-F1C52D674FAD} -
C:\WINDOWS\localNRD.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program
Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} -
C:\PROGRA~1\SearchRelevancy\SearchRelevancy2.dll
O2 - BHO: Saristar - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE50} -
C:\WINDOWS\system32\saristar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TV Media] C:\Program Files\TV Media\Tvm.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network
Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network
Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows
SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [wwqnqjkpbulh] C:\WINDOWS\System32\spxcsk.exe
O4 - HKLM\..\Run: [LiveChatut] C:\WINDOWS\LiveChatut.exe
O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows
AdControl\WinAdCtl.exe
O4 - HKLM\..\Run: [Windows TaskAd] C:\Program Files\Windows
TaskAd\WinTaskAd.exe
O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows
ControlAd\WinCtlAd.exe
O4 - HKLM\..\Run: [Admilli Service] C:\Program Files\Admilli
Service\AdmilliServ.exe
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Program Files\Lexmark 2200
Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax
Solutions\fm3032.exe" /s
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WAPI] C:\WINDOWS\System32\wtssvit.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program
Files\Microsoft Office\Office\1045\OLFSNT40.EXE
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .mov: C:\Program Files\Internet
Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet
Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpg: C:\Program Files\Internet
Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: komentator - sport.onet.pl/komentator.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
public.windupdates.com/get_file.php?bt=ie&p=e6fad8bca5ec01a0f9cab88f535b5cd172677af13876d80575558a5afedcb2919a3d40
919a1a61851a4834019fcdf82a9ac44068923192c2d035e328f6c13f:d850ebd7cca3b498dc248
e2dbf7775d2
O16 - DPF: {19B6C07F-7AA5-4170-88A9-EF184DC2EC40} -
38.144.58.94/install.cab
O16 - DPF: {8626DFA9-2BAC-4BDA-8663-8DAA0F942C0D} -
megapanel.gem.pl/temp/netp/9456/8617/9941/9100/0_9456861799419100.ocx
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer
Class) - www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9E1089BC-1AE8-4685-8D77-6721E5C318A8} -
217.73.66.16/comload.dll
O16 - DPF: {A67BA5E3-5B79-11D6-A711-00C12601EADE} - d.xo.pl/full.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
active.macromedia.com/flash2/cabs/swflash.cab
O16 - DPF: {FFCEABDA-C04E-7F4A-E9B6-DFA72B2F49FB} -
213.200.210.10/dl/101/PL175_139.exe
    • Gość: Jerzy Re: Hijack - czy wszystko ok? IP: *.internetdsl.tpnet.pl 31.12.04, 09:09
      Nikt nie wie czy nikt nie przeczytał?
      • netsec Re: Hijack - czy wszystko ok? 31.12.04, 11:12
        Masz dialera i całe stado Trojanów :)

        Wyłącz przywracanie systemu.
        Zamknij wszystkie okna Internet explorer'a.
        Odinstaluj wszystkie nieznane programy w Dodaj/Usuń programy.

        Uruchom ponownie HiJackThis wykonaj SCAN i zaznacz(haczykiem) te pozycje:

        R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
        www.findin.org/
        R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
        www.findin.org/
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
        R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - (no
        file)
        O2 - BHO: (no name) - {00320615-B6C2-40A6-8F99-F1C52D674FAD} -
        C:\WINDOWS\localNRD.dll
        O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} -
        C:\PROGRA~1\SearchRelevancy\SearchRelevancy2.dll
        O2 - BHO: Saristar - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE50} -
        C:\WINDOWS\system32\saristar.dll
        4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows
        SyncroAd\SyncroAd.exe
        O4 - HKLM\..\Run: [wwqnqjkpbulh] C:\WINDOWS\System32\spxcsk.exe
        O4 - HKLM\..\Run: [LiveChatut] C:\WINDOWS\LiveChatut.exe
        O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows
        AdControl\WinAdCtl.exe
        O4 - HKLM\..\Run: [Windows TaskAd] C:\Program Files\Windows
        TaskAd\WinTaskAd.exe
        O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows
        ControlAd\WinCtlAd.exe
        O4 - HKLM\..\Run: [Admilli Service] C:\Program Files\Admilli
        Service\AdmilliServ.exe
        O4 - HKCU\..\Run: [WAPI] C:\WINDOWS\System32\wtssvit.exe
        O12 - Plugin for .mov: C:\Program Files\Internet
        Explorer\PLUGINS\npqtplugin.dll
        O12 - Plugin for .mpeg: C:\Program Files\Internet
        Explorer\PLUGINS\npqtplugin3.dll
        O12 - Plugin for .mpg: C:\Program Files\Internet
        Explorer\PLUGINS\npqtplugin3.dll
        O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
        public.windupdates.com/get_file.php?bt=ie&p=e6fad8bca5ec01a0f9cab88f535b5cd172677af13876d80575558a5afedcb2919a3d40
        919a1a61851a4834019fcdf82a9ac44068923192c2d035e328f6c13f:d850ebd7cca3b498dc248
        e2dbf7775d2
        O16 - DPF: {19B6C07F-7AA5-4170-88A9-EF184DC2EC40} -
        38.144.58.94/install.cab
        O16 - DPF: {8626DFA9-2BAC-4BDA-8663-8DAA0F942C0D} -
        megapanel.gem.pl/temp/netp/9456/8617/9941/9100/0_9456861799419100.ocx
        217.73.66.16/comload.dll
        O16 - DPF: {A67BA5E3-5B79-11D6-A711-00C12601EADE} - d.xo.pl/full.exe
        O16 - DPF: {FFCEABDA-C04E-7F4A-E9B6-DFA72B2F49FB} -
        213.200.210.10/dl/101/PL175_139.exe

        Po zaznaczeniu wykonaj FIX CHECKED i potwierdź TAK/OK.

        W Panel Sterowania => Opcje Internetowe usuń
        Tymczasowe pliki Internetowe (Wszystkie) i Cooki.

        Uruchom ponownie komputer.

        Ściągnij te pliki:

        80.53.91.142/netsec/tools/Zone_map.zip
        80.53.91.142/netsec/tools/windowsupdate_on.zip
        80.53.91.142/netsec/tools/IErestore_fix.zip
        Zamknij wszystkie okna Internet Explorer'a
        Pojedynczo wypakuj każdy z plików kliknij i zatwierdź modyfikacje.

        To są wpisy do rejestru przywracające oryginalne ustawienia systemu, które
        zostały zmodyfikowane przez trojana.

        Jednym z elementów jest zmiana mapowania stref w IE.

        Ściągnij nowy CWShredder 2.12
        cwshredder.net/bin/CWShredder.exe
        Zamknij IE, uruchom i wykonaj FIX

        Po tym wklej nowy CAŁY log z HJ.
        • Gość: Jerzy Re: Hijack - czy wszystko ok? IP: *.internetdsl.tpnet.pl 31.12.04, 15:55
          Jak to mozliwe -mam McAfee, włączoną zaporę, aktualizuje Windowsa. Może to wina
          programu Morpheus, który przez chwoile miałem ale go wywaliłem. Korzystam teraz
          z Soulseeka.
          Kazałeś usunąć zbędne programy - tylko ja nie wiem które są zbędne, nie chce
          usuwać czegoś co może było od zawsze?

          Logfile of HijackThis v1.97.7
          Scan saved at 15:52:27, on 2004-12-31
          Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
          MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

          Running processes:
          C:\WINDOWS\System32\smss.exe
          C:\WINDOWS\system32\winlogon.exe
          C:\WINDOWS\system32\services.exe
          C:\WINDOWS\system32\lsass.exe
          C:\WINDOWS\system32\svchost.exe
          C:\WINDOWS\System32\svchost.exe
          C:\WINDOWS\system32\LEXBCES.EXE
          C:\WINDOWS\system32\LEXPPS.EXE
          C:\WINDOWS\system32\spoolsv.exe
          C:\WINDOWS\Explorer.EXE
          C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
          C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
          C:\Program Files\Ahead\InCD\InCD.exe
          C:\WINDOWS\system32\RunDll32.exe
          C:\Program Files\Lexmark 2200 Series\lxbvbmgr.exe
          C:\Program Files\Windows TaskAd\WinTaskAd.exe
          C:\Program Files\Lexmark 2200 Series\lxbvbmon.exe
          C:\Program Files\Windows ControlAd\WinCtlAd.exe
          C:\Program Files\Admilli Service\AdmilliServ.exe
          C:\Program Files\Windows TaskAd\WinSched.exe
          C:\WINDOWS\System32\spxcsk.exe
          C:\Program Files\Messenger\msmsgs.exe
          C:\Program Files\Admilli Service\AdmilliKeep.exe
          C:\Program Files\Windows ControlAd\WinCtlAdAlt.exe
          C:\Program Files\D-Link AirPlus\AirPlus.exe
          C:\Program Files\Microsoft Office\Office\1045\OLFSNT40.EXE
          C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
          C:\Program Files\Network Associates\VirusScan\Mcshield.exe
          C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
          C:\WINDOWS\System32\nvsvc32.exe
          C:\WINDOWS\System32\svchost.exe
          C:\Program Files\Internet Explorer\IEXPLORE.EXE
          C:\HijackThis.exe

          R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
          www.onet.pl/
          O2 - BHO: (no name) - {00000000-C1EC-0345-6EC2-4D0300000000} -
          C:\WINDOWS\ZServ.dll
          O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program
          Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
          O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
          \NvCpl.dll,NvStartup
          O4 - HKLM\..\Run: [TV Media] C:\Program Files\TV Media\Tvm.exe
          O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network
          Associates\VirusScan\SHSTAT.EXE" /STANDALONE
          O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
          O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
          O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common
          Framework\UpdaterUI.exe" /StartedFromRunKey
          O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
          O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
          O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Program Files\Lexmark 2200
          Series\lxbvbmgr.exe"
          O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax
          Solutions\fm3032.exe" /s
          O4 - HKLM\..\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe
          O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows
          ControlAd\WinCtlAd.exe
          O4 - HKLM\..\Run: [Admilli Service] C:\Program Files\Admilli
          Service\AdmilliServ.exe
          O4 - HKLM\..\Run: [dzlbsowdm] C:\WINDOWS\System32\spxcsk.exe
          O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
          O4 - Global Startup: D-Link AirPlus.lnk = ?
          O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
          Office\Office\OSA9.EXE
          O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program
          Files\Microsoft Office\Office\1045\OLFSNT40.EXE
          O9 - Extra button: Messenger (HKLM)
          O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
          O16 - DPF: {9E1089BC-1AE8-4685-8D77-6721E5C318A8} -
          217.73.66.16/comload.dll
          O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
          download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
          • netsec Re: Hijack - czy wszystko ok? 01.01.05, 14:19
            Możliwe, a jaką masz wersje McAfee?
            Czy aktualizuje się automatycznie?
            Wklej log wykonany najnowszysm HJ:
            forum.gazeta.pl/forum/72,2.html?f=23618&w=16131117&wv.x=2&a=18632867
            • Gość: Jerzy Re: Hijack - czy wszystko ok? IP: *.internetdsl.tpnet.pl 01.01.05, 15:51
              McAfee 7.1.0, aktualizuje się automatycznie, ostatnio 29.12. definicja wirusów
              4417
              Nowy log

              Logfile of HijackThis v1.99.0
              Scan saved at 15:47:12, on 2005-01-01
              Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
              MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

              Running processes:
              C:\WINDOWS\System32\smss.exe
              C:\WINDOWS\system32\winlogon.exe
              C:\WINDOWS\system32\services.exe
              C:\WINDOWS\system32\lsass.exe
              C:\WINDOWS\system32\svchost.exe
              C:\WINDOWS\System32\svchost.exe
              C:\WINDOWS\system32\LEXBCES.EXE
              C:\WINDOWS\system32\spoolsv.exe
              C:\WINDOWS\system32\LEXPPS.EXE
              C:\WINDOWS\Explorer.EXE
              C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
              C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
              C:\Program Files\Ahead\InCD\InCD.exe
              C:\WINDOWS\system32\RunDll32.exe
              C:\Program Files\Lexmark 2200 Series\lxbvbmgr.exe
              C:\Program Files\Windows TaskAd\WinTaskAd.exe
              C:\Program Files\Windows ControlAd\WinCtlAd.exe
              C:\Program Files\Lexmark 2200 Series\lxbvbmon.exe
              C:\Program Files\Admilli Service\AdmilliServ.exe
              C:\WINDOWS\System32\spxcsk.exe
              C:\Program Files\Windows ControlAd\WinCtlAdAlt.exe
              C:\Program Files\Windows TaskAd\WinSched.exe
              C:\Program Files\Messenger\msmsgs.exe
              C:\Program Files\Admilli Service\AdmilliKeep.exe
              C:\Program Files\D-Link AirPlus\AirPlus.exe
              C:\Program Files\Microsoft Office\Office\1045\OLFSNT40.EXE
              C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
              C:\Program Files\Network Associates\VirusScan\Mcshield.exe
              C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
              C:\WINDOWS\System32\nvsvc32.exe
              C:\WINDOWS\System32\svchost.exe
              C:\WINDOWS\system32\wuauclt.exe
              C:\DOCUME~1\Janusz\Ustawienia lokalne\Temp\Katalog tymczasowy 1 dla
              hijackthis.zip\HijackThis.exe

              R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
              www.onet.pl/
              O2 - BHO: ZServObj Class - {00000000-C1EC-0345-6EC2-4D0300000000} -
              C:\WINDOWS\ZServ.dll
              O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
              C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
              O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} -
              C:\PROGRA~1\SearchRelevancy\SearchRelevancy1.dll
              O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
              \NvCpl.dll,NvStartup
              O4 - HKLM\..\Run: [TV Media] C:\Program Files\TV Media\Tvm.exe
              O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network
              Associates\VirusScan\SHSTAT.EXE" /STANDALONE
              O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
              O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
              O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common
              Framework\UpdaterUI.exe" /StartedFromRunKey
              O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
              O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
              O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Program Files\Lexmark 2200
              Series\lxbvbmgr.exe"
              O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax
              Solutions\fm3032.exe" /s
              O4 - HKLM\..\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe
              O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows
              ControlAd\WinCtlAd.exe
              O4 - HKLM\..\Run: [Admilli Service] C:\Program Files\Admilli
              Service\AdmilliServ.exe
              O4 - HKLM\..\Run: [dzlbsowdm] C:\WINDOWS\System32\spxcsk.exe
              O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
              O4 - Global Startup: D-Link AirPlus.lnk = ?
              O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
              Office\Office\OSA9.EXE
              O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program
              Files\Microsoft Office\Office\1045\OLFSNT40.EXE
              O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
              C:\Program Files\Messenger\msmsgs.exe
              O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
              00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
              O16 - DPF: {9E1089BC-1AE8-4685-8D77-6721E5C318A8} -
              217.73.66.16/comload.dll
              O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32
              \LEXBCES.EXE
              O23 - Service: Serwis struktury programu McAfee - Network Associates, Inc. -
              C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
              O23 - Service: Network Associates McShield - Network Associates, Inc. -
              C:\Program Files\Network Associates\VirusScan\Mcshield.exe
              O23 - Service: Network Associates Task Manager - Network Associates, Inc. -
              C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
              O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation -
              C:\WINDOWS\System32\nvsvc32.exe

              • netsec Re: Hijack - czy wszystko ok? 01.01.05, 16:11
                Sprawdź czy w panelu sterowania Dodaj/Usuń programy nie ma tych pozycji:

                Unistall 180 sertchAssistant
                Web Tools by Hotbar
                WebRebates(by TopReates.com)
                Windows Active
                Windovs AdControl
                Windows SR2.0

                Jeśli są to odinstaluj.

                Ściągnij nowy CWShredder 2
                cwshredder.net/bin/CWShredder.exe
                Sprawdź czy masz włączoną zaporę Internetową we właściwościach Twojego
                połączenia do Internetu.

                Wyłącz przywracanie systemu:
                support.microsoft.com/default.aspx?scid=kb;pl;310405
                Uruchom komputer w trybie awaryjnym:
                support.microsoft.com/default.aspx?scid=KB;PL;315222
                Uwaga! Przy starcie do awaryjnego dostaniesz pytanie o wybór konta. NIE wybieraj
                konta Administratora tylko swoje własne imienne, bo na tym profilu jest syf. Po
                uruchomieniu komputera w trybie awaryjnym, nie otwieraj Internet Explorera.

                Uruchom ponownie HiJackThis wybierz 'Do a system scan only'
                i zaznacz(haczykiem) dokładnie tylko te pozycje:

                O2 - BHO: ZServObj Class - {00000000-C1EC-0345-6EC2-4D0300000000} -
                C:\WINDOWS\ZServ.dll
                O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} -
                C:\PROGRA~1\SearchRelevancy\SearchRelevancy1.dll
                O4 - HKLM\..\Run: [TV Media] C:\Program Files\TV Media\Tvm.exe
                O4 - HKLM\..\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe
                O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows
                ControlAd\WinCtlAd.exe
                O4 - HKLM\..\Run: [Admilli Service] C:\Program Files\Admilli
                Service\AdmilliServ.exe
                O4 - HKLM\..\Run: [dzlbsowdm] C:\WINDOWS\System32\spxcsk.exe
                O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
                O16 - DPF: {9E1089BC-1AE8-4685-8D77-6721E5C318A8} -
                217.73.66.16/comload.dll

                po zaznaczeniu kliknij 'Fix checked', potwierdź usunięcie TAK/OK
                i zamknij HiJackTis.

                Uruchom CWShredder 2 i wykonaj FIX.

                Uruchom komputer w normalny sposób i wklej na forum nowy log z HJ.

                Jeśli na komputerze jest użytkowanych więcej niż jedno konto, to należy wykonać
                logi z wszystkich kont. Możesz je wysłać mailem na mój e-mail w gazecie.

                Dodatkowo proponuje:

                Zainstaluj SpyBot Search & Destroy 1.3 i po aktualizacja przeskanuj system:
                Strona producenta:
                spybot.safer-networking.de/pl/index.html
                Pobieranie najnowszej wersji:
                spybot.safer-networking.de/pl/mirrors/index.html
                Spybot-Search&Destroy instrukcja PL (online)
                spybot.safer-networking.de/pl/tutorial/index.html

                Zainstaluj alternatywna przeglądarkę Firefox www.firefox.pl
                Domyślnie przeglądaj strony w Internecie wyłącznie przez Firefox.

                Wyjątek może stanowić strona Banku który może nie akceptować Firefox.

                Zainstaluj najnowszą Jave Sun:
                java.sun.com/webapps/download/AutoDL?BundleId=9723
                Zainstaluj koniecznie SpywareBlaster 3.2 zabezpieczy cię przed kolejnymi
                niespodziankami.
                Opis programu:
                forum.gazeta.pl/forum/72,2.html?f=23618&w=16148176&wv.x=2&a=18183530
                Konfiguracja i aktualizacja:
                forum.gazeta.pl/forum/72,2.html?f=23618&w=16148176&wv.x=2&a=18214375
                Zmień ustawienia Outlook Express na bezpieczniejsze:
                W Outlook Express: Narzędzia => Opcje => zakładka Czytanie
                Zaznaczamy "Czytaj wszystkie wiadomości w postaci zwykłego tekstu".
                Dla czytelności maili warto zmienić czcionki.
                W tej samej zakładce wybieramy "Czcionki" dalej wybieramy z listy "Europa
                środkowa" i ustawiamy dla "Czcionka proporcjonalna" oraz "Czcionka o stałej
                szerokości" Curier New. Rozmiar czcionki ustawiamy na Mniejszy.
                Kodowanie "Europa Środkowa(ISO) i klikamy "Ustaw jako domyślne"
                Zatwierdzamy zmiany OK, OK.

                Regularnie (raz na tydzień) skanuj cały system zaktualizowanym Ad-aware i
                antywirusem.

                Interwencyjnie jak coś się dzieje skanuj SpyBot Search & Destroy 1.3.

                Przedstawione powyżej działania, zminimalizują ewentualne problemy.
                • Gość: Jerzy Re: Hijack - czy wszystko ok? IP: *.internetdsl.tpnet.pl 01.01.05, 17:58
                  Logfile of HijackThis v1.99.0
                  Scan saved at 17:55:09, on 2005-01-01
                  Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
                  MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

                  Running processes:
                  C:\WINDOWS\System32\smss.exe
                  C:\WINDOWS\system32\winlogon.exe
                  C:\WINDOWS\system32\services.exe
                  C:\WINDOWS\system32\lsass.exe
                  C:\WINDOWS\system32\svchost.exe
                  C:\WINDOWS\System32\svchost.exe
                  C:\WINDOWS\system32\LEXBCES.EXE
                  C:\WINDOWS\system32\LEXPPS.EXE
                  C:\WINDOWS\system32\spoolsv.exe
                  C:\WINDOWS\Explorer.EXE
                  C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
                  C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
                  C:\Program Files\Ahead\InCD\InCD.exe
                  C:\WINDOWS\system32\RunDll32.exe
                  C:\Program Files\Lexmark 2200 Series\lxbvbmgr.exe
                  C:\Program Files\Lexmark 2200 Series\lxbvbmon.exe
                  C:\Program Files\D-Link AirPlus\AirPlus.exe
                  C:\Program Files\Microsoft Office\Office\1045\OLFSNT40.EXE
                  C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
                  C:\Program Files\Network Associates\VirusScan\Mcshield.exe
                  C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
                  C:\WINDOWS\System32\nvsvc32.exe
                  C:\WINDOWS\System32\svchost.exe
                  C:\DOCUME~1\Janusz\Ustawienia lokalne\Temp\Katalog tymczasowy 3 dla
                  hijackthis.zip\HijackThis.exe

                  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
                  www.onet.pl/
                  O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
                  C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
                  O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
                  \NvCpl.dll,NvStartup
                  O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network
                  Associates\VirusScan\SHSTAT.EXE" /STANDALONE
                  O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
                  O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
                  O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common
                  Framework\UpdaterUI.exe" /StartedFromRunKey
                  O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
                  O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
                  O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Program Files\Lexmark 2200
                  Series\lxbvbmgr.exe"
                  O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax
                  Solutions\fm3032.exe" /s
                  O4 - Global Startup: D-Link AirPlus.lnk = ?
                  O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
                  Office\Office\OSA9.EXE
                  O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program
                  Files\Microsoft Office\Office\1045\OLFSNT40.EXE
                  O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
                  C:\Program Files\Messenger\msmsgs.exe
                  O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
                  00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
                  O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32
                  \LEXBCES.EXE
                  O23 - Service: Serwis struktury programu McAfee - Network Associates, Inc. -
                  C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
                  O23 - Service: Network Associates McShield - Network Associates, Inc. -
                  C:\Program Files\Network Associates\VirusScan\Mcshield.exe
                  O23 - Service: Network Associates Task Manager - Network Associates, Inc. -
                  C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
                  O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation -
                  C:\WINDOWS\System32\nvsvc32.exe

                  • netsec Re: Hijack - czy wszystko ok? 01.01.05, 18:40
                    Log jest czysty.
                    Mam nadzieje, że dostrzegasz konieczności stosowania dodatkowych narzędzi
                    uzupełniających działanie antywirusa.
                    • Gość: Jerzy Re: Hijack - czy wszystko ok? IP: *.internetdsl.tpnet.pl 01.01.05, 19:02
                      Tak, teraz to widzę, dzięki serdeczne.
                      Spybot wykrył kilka kolejnych śmieci.
                      Dlaczego proponujesz używać Firefox?
                      • netsec Re: Hijack - czy wszystko ok? 01.01.05, 20:09
                        Spybot i Ad-aware są skuteczne, jeśli przed użyciem wykonuje się aktualizacje.
                        Podobnie jak w przypadku antywirusa ważne jest uaktualnienie bazy wykrywania.
                        Firefox w przeciwieństwie do Internet Explorer’a nie ma zaimplementowanej
                        technologii ActiveX którą najczęściej wykorzystują trojany na stronach www.
                        Ponadto posiada wiele innych przydatnych funkcji np. panele, oraz mniej obciąża
                        system i szybciej wczytuje strony www.
Pełna wersja