124838, pomóżcie, proszę

IP: *.lubartow.sdi.tpnet.pl 19.01.05, 11:43
Witam, mam okropny problem, z którym nie mogę sobie poradzić sama, bo moja
znajomość komputera ogranicza się do włącza i wyłączenia worda, gg, winampa i
internetu...
Kilka dni temu, jak myślałam weszłam na zwykłą stronę, nagle nie wiadomo skąd
na pulpicie wyskoczyła masa ikonek- jak się okazało to trojany... trochę się
tego pozbyłam, ale niestety nie wszystkiego.
Mam AVG, innego antywirusa ściągnąć nie mogę, bo komputer się buntuje. AVG
nie daje sobie rady z czymś takim: 124838.exe
Dodam, że na pulpicie ciągle widnieją ikony: msload, runsvc32 i oczywiście
zdjęcie pięknej pani mające mnie zachęcić do obejrzenia strony porno:
FreeXXX, co wzbudza we mnie mało powiedziane, irytację...
Podejrzewam, że problemy z komputerem (nie mogę przekopiować dokumentów z
worda na dyskietkę, zamiast gazety wyborczej jako strony główna włącza się
nieznana mi wyszukiwarka nie mogę tego zmienić, bo albo przy zmianie komputer
się zawiesza albo na zmianę strony startowej nie reaguje, nie wspomnę już o
tym, że nie wszystkie strony mi wchodzą) skończą się kiedy pozbędę się tego
124838 ale jak to zrobić?
(mam windowsa 98)
Przyznaję, że to całkowicie przekracza moje możliwości intelektualne i proszę
o pomoc

pozdrawiam,
Sylwia
    • Gość: piecyk gazowy Re: 124838, pomóżcie, proszę IP: *.tpnet.pl / *.tpnet.pl 19.01.05, 11:47
      forum.gazeta.pl/forum/72,2.html?f=430&w=19612229&a=19612576
      • Gość: Sylwia Re: 124838, pomóżcie, proszę IP: *.lubartow.sdi.tpnet.pl 19.01.05, 11:51
        Dziękuję :-)))
        • piecyk.gazowy Re: 124838, pomóżcie, proszę 19.01.05, 12:01
          Jeszcze nie ma za co. :-) Wklej loga.
          • Gość: Sylwia Re: 124838, pomóżcie, proszę IP: *.lubartow.sdi.tpnet.pl 19.01.05, 12:09
            Piecyku, kiedy zobaczyłam Twoją odpowiedź zrobiło mi się cieplej :)))
            Niestety na krótko, link nie wchodzi, tzn, nie wchodzi tak jak wchodzić
            powienien...
            strona się włącza pod następującą postacią:
            MZ?˙˙¸@¸ş´ Í!¸LÍ!This program cannot be run in DOS mode. $ľ­
            ˙úĚr¬úĚr¬úĚr¬yĐ|&no t;űĚr¬“Ó{¬÷Ěr¬ ;Ó¬űĚr¬RichúĚr¬PE LšŔAŕ € @ś ?
            @c° <§ ś <UPX0€ €ŕUPX1? @ŕ.rsrc @Ŕ1.24UPX!  »IŘ–
            *ęx 7 p & mţ!€?ů¶C7'GŢ·CŮ·ŕ%l?ěäşŔ @e¸Ö4˶lMą\É GöäÉ®UĽ\Ľ“˝Ľ
            {ňš˝űŔWÁ.Â۲Yž5ÂeĹšlĹÉ“'o_ÎČŐČś ĘoŰňäŁĘ9Ěa@Ě?ÎÉ“·'$ÎsĎzĎ˙Ý%56@ÎEżúE

            itd, itd, itd
            Nie poddaję się ciągle próbuję
            Może to jest wynikiem tego, że komputer nie chodzi w tempie żółwim tylko
            ślimaczym??
            Idę po młotek delikatna perswazja powinna na niego zadziałać

            pozdrawiam,
            Sylwia
            • piecyk.gazowy Re: 124838, pomóżcie, proszę 19.01.05, 12:12
              spywareinfo.globalservers.com/~merijn/files/HijackThis.exe
              Kliknij na linku prawym przyciskiem myszy, wybierz Zapisz element docelowy
              jako... i zapisz np. na pulpicie.

              Gdyby uruchomienie się nie powiodło (brak coś tam dll), zainstaluj biblioteki
              VisualBasica:
              download.microsoft.com/download/vb60pro/Redist/sp5/WIN98ME/EN-US/vbrun60sp5.exe
              • Gość: Sylwia Re: 124838, pomóżcie, proszę IP: *.lubartow.sdi.tpnet.pl 19.01.05, 12:17
                POSZŁO!!!!!

                can saved at 12:14:52, on 05-01-19
                Platform: Windows 98 SE (Win9x 4.10.2222A)
                MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

                Running processes:
                C:\WINDOWS\SYSTEM\KERNEL32.DLL
                C:\WINDOWS\SYSTEM\MSGSRV32.EXE
                C:\WINDOWS\SYSTEM\SPOOL32.EXE
                C:\WINDOWS\SYSTEM\MPREXE.EXE
                C:\WINDOWS\SYSTEM\MSTASK.EXE
                C:\WINDOWS\SYSTEM\LEXBCES.EXE
                C:\WINDOWS\SYSTEM\HIDSERV.EXE
                C:\WINDOWS\SYSTEM\RPCSS.EXE
                C:\WINDOWS\SYSTEM\mmtask.tsk
                C:\WINDOWS\EXPLORER.EXE
                C:\WINDOWS\TASKMON.EXE
                C:\WINDOWS\SYSTEM\INTERNAT.EXE
                C:\WINDOWS\SYSTEM\SYSTRAY.EXE
                C:\WINDOWS\SYSTEM\STIMON.EXE
                C:\PROGRAM FILES\NETROPA\MULTIMEDIA KEYBOARD\MMKEYBD.EXE
                C:\WINDOWS\SYSTEM\PRINTRAY.EXE
                C:\WINDOWS\SYSTEM\SYSTIME.EXE
                C:\WINDOWS\PROCESS.EXE
                C:\WINDOWS\SYSTEM\SERVICES\{8F8 63FE0-693A-11D9-90E4-0010A70DA0 99}\SVCHOST.EXE
                C:\PROGRAM FILES\INTERNET OPTIMIZER\OPTIMIZE.EXE
                C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGCC.EXE
                C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGEMC.EXE
                C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGAMSVR.EXE
                C:\PROGRAM FILES\NETROPA\MULTIMEDIA KEYBOARD\TRAYMON.EXE
                C:\PROGRAM FILES\NETROPA\ONSCREEN DISPLAY\OSD.EXE
                C:\PROGRAM FILES\GADU-GADU\GG.EXE
                C:\WINDOWS\SYSTEM\SYSTIME.EXE
                C:\WINDOWS\SYSTEM\DDHELP.EXE
                C:\WINDOWS\SYSTEM\WMIEXE.EXE
                C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
                C:\WINDOWS\SYSTEM\PSTORES.EXE
                C:\WINDOWS\PULPIT\HIJACKTHIS.EX E

                R1 - HKCU\Software\Microsoft\Interne t Explorer\Main,Default_Page_URL =
                213.159.117.134/index.php
                R0 - HKCU\Software\Microsoft\Interne t Explorer\Main,Start Page =
                213.159.117.134/index.php
                R1 - HKLM\Software\Microsoft\Interne t Explorer\Main,Default_Page_URL =
                213.159.117.134/index.php
                R0 - HKLM\Software\Microsoft\Interne t Explorer\Main,Start Page =
                213.159.117.134/index.php
                R0 - HKCU\Software\Microsoft\Interne t Explorer\Main,Local Page =
                213.159.117.134/index.php
                R0 - HKLM\Software\Microsoft\Interne t Explorer\Main,Local Page =
                213.159.117.134/index.php
                R1 - HKCU\Software\Microsoft\Windows \CurrentVersion\Internet
                Settings,ProxyServer = 192.168.16.5
                R0 - HKCU\Software\Microsoft\Interne t Explorer\Toolbar,LinksFolderNam e = Łącza
                R3 - URLSearchHook: (no name) - _{CA0E28FA-1AFD-4C21-A8DC-70EB5 BE2F076} - (no
                file)
                R3 - URLSearchHook: (no name) - {CA0E28FA-1AFD-4C21-A8DC-70EB5B E2F076} -
                C:\PROGRAM FILES\SURFSIDEKICK 2\SSKBHO.DLL
                O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827 C2E4C8} -
                C:\WINDOWS\NEM220.DLL (file missing)
                O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B13618 8F5DEB} -
                C:\WINDOWS\QUESTMOD.DLL (file missing)
                O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
                O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
                O4 - HKLM\..\Run: [internat.exe] internat.exe
                O4 - HKLM\..\Run: [SystemTray] SysTray.ExE
                O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe
                powrprof.dll,LoadCurrentPwrSche me
                O4 - HKLM\..\Run: [Zasobnik systemowy] SysTray.Exe
                O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
                O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
                O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
                C:\WINDOWS\SYSTEM\NvCpl.dll,NvS tartup
                O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
                O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE
                C:\WINDOWS\SYSTEM\NvMcTray.dll, NvTaskbarInit
                O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia
                Keyboard\MMKeybd.exe
                O4 - HKLM\..\Run: [LexStart] Lexstart.exe
                O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe
                O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\SYSTEM\systime.exe
                O4 - HKLM\..\Run: [process.exe] C:\WINDOWS\process.exe
                O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\SYSTEM\SERVICES\{8F8 63FE0-693A-11D9-
                90E4-0010A70DA099}\SVCHOST.EXE
                O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet
                Optimizer\optimize.exe"
                O4 - HKLM\..\Run: [SurfSideKick 2] C:\PROGRAM FILES\SURFSIDEKICK 2\Ssk.exe
                O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AV GCC.EXE /STARTUP
                O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AV GEMC.EXE
                O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AV GAMSVR.EXE
                O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe
                powrprof.dll,LoadCurrentPwrSche me
                O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
                O4 - HKLM\..\RunServices: [Hidserv] Hidserv.exe run
                O4 - HKCU\..\Run: [Gadu-Gadu] "C:\PROGRAM FILES\GADU-GADU\GG.EXE" /tray
                O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\SYSTEM\systime.exe
                O4 - HKCU\..\Run: [SurfSideKick 2] C:\PROGRAM FILES\SURFSIDEKICK 2\Ssk.exe
                O4 - HKCU\..\RunServices: [Gadu-Gadu] "C:\PROGRAM FILES\GADU-GADU\GG.EXE" /tray
                O4 - HKCU\..\RunServices: [SysTime] C:\WINDOWS\SYSTEM\systime.exe
                O4 - HKCU\..\RunServices: [SurfSideKick 2] C:\PROGRAM FILES\SURFSIDEKICK 2
                \Ssk.exe
                O4 - Startup: Microsoft Office.lnk = D:\Program Files\Microsoft
                Office\Office\OSA9.EXE
                O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa00 3c157a} -
                C:\WINDOWS\web\related.htm
                O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
                00aa003c157a} - C:\WINDOWS\web\related.htm
                O15 - Trusted Zone: *.windupdates.com
                O15 - Trusted Zone: *.searchmiracle.com
                O15 - Trusted Zone: *.searchbarcash.com
                O15 - Trusted Zone: *.skoobidoo.com
                O15 - Trusted Zone: *.my-internet.info
                O15 - Trusted Zone: *.xxxtoolbar.com
                O15 - Trusted Zone: *.slotch.com
                O15 - Trusted Zone: *.flingstone.com
                O15 - Trusted Zone: *.mt-download.com
                O15 - Trusted Zone: *.blazefind.com
                O15 - Trusted Zone: *.clickspring.net
                O15 - Trusted Zone: *.ysbweb.com
                O15 - Trusted Zone: *.slotchbar.com
                O15 - Trusted Zone: *.iframedollars.biz
                O15 - Trusted Zone: *.windupdates.com (HKLM)
                O15 - Trusted Zone: *.searchbarcash.com (HKLM)
                O15 - Trusted Zone: *.searchmiracle.com (HKLM)
                O15 - Trusted Zone: *.skoobidoo.com (HKLM)
                O15 - Trusted Zone: *.my-internet.info (HKLM)
                O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
                O15 - Trusted Zone: *.slotch.com (HKLM)
                O15 - Trusted Zone: *.flingstone.com (HKLM)
                O15 - Trusted Zone: *.mt-download.com (HKLM)
                O15 - Trusted Zone: *.blazefind.com (HKLM)
                O15 - Trusted Zone: *.clickspring.net (HKLM)
                O15 - Trusted Zone: *.ysbweb.com (HKLM)
                O15 - Trusted Zone: *.slotchbar.com (HKLM)
                O15 - Trusted Zone: *.iframedollars.biz (HKLM)
                O15 - Trusted IP range: 213.159.117.202
                O15 - Trusted IP range: 213.159.117.202 (HKLM)
                O16 - DPF: {11111111-1111-1111-1111-111111 111157} - ms-
                its:mhtml:file://c:\nosuch.mht!
                iframedollars.biz/dl/adv516/x.chm::/load.exe
                O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7 B6B35C} (Loader2 Control) -
                iframedollars.biz/tb/loader2.ocx
                O17 - HKLM\System\CCS\Services\VxD\MS TCP: NameServer =
                194.204.159.1,194.204.152.34
                O21 - SSODL: OLE Automation Module - {3F143C3A-1457-6CCA-03A7-7AA23B 61E40F} -
                C:\WINDOWS\SYSTEM\child.dll (file missing)
                O21 - SSODL: Web Event Logger - {7EFBAEFF-EE02-1333-ABDF-416572 E5D639} -
                C:\WINDOWS\SYSTEM\Hpddjaqh.dll
                O21 - SSODL: OLE Module - {0211C4D9-BC71-8916-38AD-9DEA5D 213614} -
                C:\WINDOWS\SYSTEM\chup.dll

                To wszystko, o ile wklepiłam to, co trzeba :-)))
                • Gość: piecyk gazowy Re: 124838, pomóżcie, proszę IP: *.tpnet.pl / *.tpnet.pl 19.01.05, 12:51
                  Zaznacz poniższe wpisy i wciśnij Fix Checked:

                  R1 - HKCU\Software\Microsoft\Interne t Explorer\Main,Default_Page_URL =
                  213.159.117.134/index.php
                  R0 - HKCU\Software\Microsoft\Interne t Explorer\Main,Start Page =
                  213.159.117.134/index.php
                  R1 - HKLM\Software\Microsoft\Interne t Explorer\Main,Default_Page_URL =
                  213.159.117.134/index.php
                  R0 - HKLM\Software\Microsoft\Interne t Explorer\Main,Start Page =
                  213.159.117.134/index.php
                  R0 - HKCU\Software\Microsoft\Interne t Explorer\Main,Local Page =
                  213.159.117.134/index.php
                  R0 - HKLM\Software\Microsoft\Interne t Explorer\Main,Local Page =
                  213.159.117.134/index.php

                  R3 - URLSearchHook: (no name) - _{CA0E28FA-1AFD-4C21-A8DC-70EB5 BE2F076} - (no
                  file)
                  R3 - URLSearchHook: (no name) - {CA0E28FA-1AFD-4C21-A8DC-70EB5B E2F076} -
                  C:\PROGRAM FILES\SURFSIDEKICK 2\SSKBHO.DLL
                  O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827 C2E4C8} -
                  C:\WINDOWS\NEM220.DLL (file missing)
                  O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B13618 8F5DEB} -
                  C:\WINDOWS\QUESTMOD.DLL (file missing)

                  O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\SYSTEM\systime.exe
                  O4 - HKLM\..\Run: [process.exe] C:\WINDOWS\process.exe
                  O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\SYSTEM\SERVICES\{8F8 63FE0-693A-
                  11D9-
                  90E4-0010A70DA099}\SVCHOST.EXE
                  O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet
                  Optimizer\optimize.exe"
                  O4 - HKLM\..\Run: [SurfSideKick 2] C:\PROGRAM FILES\SURFSIDEKICK 2\Ssk.exe

                  O4 - HKLM\..\RunServices: [Hidserv] Hidserv.exe run

                  O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\SYSTEM\systime.exe
                  O4 - HKCU\..\Run: [SurfSideKick 2] C:\PROGRAM FILES\SURFSIDEKICK 2\Ssk.exe

                  O4 - HKCU\..\RunServices: [SysTime] C:\WINDOWS\SYSTEM\systime.exe
                  O4 - HKCU\..\RunServices: [SurfSideKick 2] C:\PROGRAM FILES\SURFSIDEKICK 2
                  \Ssk.exe
                  O4 - Startup: Microsoft Office.lnk = D:\Program Files\Microsoft
                  Office\Office\OSA9.EXE

                  O15 - Trusted Zone: *.windupdates.com
                  O15 - Trusted Zone: *.searchmiracle.com
                  O15 - Trusted Zone: *.searchbarcash.com
                  O15 - Trusted Zone: *.skoobidoo.com
                  O15 - Trusted Zone: *.my-internet.info
                  O15 - Trusted Zone: *.xxxtoolbar.com
                  O15 - Trusted Zone: *.slotch.com
                  O15 - Trusted Zone: *.flingstone.com
                  O15 - Trusted Zone: *.mt-download.com
                  O15 - Trusted Zone: *.blazefind.com
                  O15 - Trusted Zone: *.clickspring.net
                  O15 - Trusted Zone: *.ysbweb.com
                  O15 - Trusted Zone: *.slotchbar.com
                  O15 - Trusted Zone: *.iframedollars.biz
                  O15 - Trusted Zone: *.windupdates.com (HKLM)
                  O15 - Trusted Zone: *.searchbarcash.com (HKLM)
                  O15 - Trusted Zone: *.searchmiracle.com (HKLM)
                  O15 - Trusted Zone: *.skoobidoo.com (HKLM)
                  O15 - Trusted Zone: *.my-internet.info (HKLM)
                  O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
                  O15 - Trusted Zone: *.slotch.com (HKLM)
                  O15 - Trusted Zone: *.flingstone.com (HKLM)
                  O15 - Trusted Zone: *.mt-download.com (HKLM)
                  O15 - Trusted Zone: *.blazefind.com (HKLM)
                  O15 - Trusted Zone: *.clickspring.net (HKLM)
                  O15 - Trusted Zone: *.ysbweb.com (HKLM)
                  O15 - Trusted Zone: *.slotchbar.com (HKLM)
                  O15 - Trusted Zone: *.iframedollars.biz (HKLM)
                  O15 - Trusted IP range: 213.159.117.202
                  O15 - Trusted IP range: 213.159.117.202 (HKLM)
                  O16 - DPF: {11111111-1111-1111-1111-111111 111157} - ms-
                  its:mhtml:file://c:\nosuch.mht!
                  iframedollars.biz/dl/adv516/x.c hm::/load.exe
                  O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7 B6B35C} (Loader2 Control) -
                  iframedollars.biz/tb/loader2.oc x

                  O21 - SSODL: OLE Automation Module - {3F143C3A-1457-6CCA-03A7-7AA23B 61E40F} -
                  C:\WINDOWS\SYSTEM\child.dll (file missing)
                  O21 - SSODL: Web Event Logger - {7EFBAEFF-EE02-1333-ABDF-416572 E5D639} -
                  C:\WINDOWS\SYSTEM\Hpddjaqh.dll
                  O21 - SSODL: OLE Module - {0211C4D9-BC71-8916-38AD-9DEA5D 213614} -
                  C:\WINDOWS\SYSTEM\chup.dll

                  Potem przeskanuj jeszcze raz, sprawdź czy coś nie wróciło, jeśli tak, usuń.
                  Zrestartuj system, przeskanuj jeszcze raz i wklej nowego loga.
    • Gość: Sylwia Re: 124838, pomóżcie, proszę IP: *.lubartow.sdi.tpnet.pl 19.01.05, 12:36
      Patrzę sobie na tą listę i wydaje mi sie, że powinnam usunąć wszystko 015, bo
      to jakies bzdury... Sama jednak nie zaryzykuję...
    • Gość: Sylwia Re: 124838, pomóżcie, proszę IP: *.lubartow.sdi.tpnet.pl 19.01.05, 13:20
      Niestety, pomimo powtórnego usunięcie niektóre części wracają. Próbować usuwać
      aż do skutku?

      Logfile of HijackThis v1.99.0
      Scan saved at 13:16:57, on 05-01-19
      Platform: Windows 98 SE (Win9x 4.10.2222A)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\SYSTEM\KERNEL32.DLL
      C:\WINDOWS\SYSTEM\MSGSRV32.EXE
      C:\WINDOWS\SYSTEM\MPREXE.EXE
      C:\WINDOWS\SYSTEM\mmtask.tsk
      C:\WINDOWS\SYSTEM\MSTASK.EXE
      C:\WINDOWS\EXPLORER.EXE
      C:\WINDOWS\TASKMON.EXE
      C:\WINDOWS\SYSTEM\INTERNAT.EXE
      C:\WINDOWS\SYSTEM\SYSTRAY.EXE
      C:\WINDOWS\SYSTEM\STIMON.EXE
      C:\PROGRAM FILES\NETROPA\MULTIMEDIA KEYBOARD\MMKEYBD.EXE
      C:\WINDOWS\SYSTEM\PRINTRAY.EXE
      C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGCC.EXE
      C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGEMC.EXE
      C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGAMSVR.EXE
      C:\WINDOWS\SYSTEM\SPOOL32.EXE
      C:\PROGRAM FILES\GADU-GADU\GG.EXE
      C:\WINDOWS\SYSTEM\LEXBCES.EXE
      C:\WINDOWS\SYSTEM\RPCSS.EXE
      C:\PROGRAM FILES\NETROPA\MULTIMEDIA KEYBOARD\TRAYMON.EXE
      C:\PROGRAM FILES\NETROPA\ONSCREEN DISPLAY\OSD.EXE
      C:\WINDOWS\SYSTEM\DDHELP.EXE
      C:\WINDOWS\SYSTEM\WMIEXE.EXE
      C:\WINDOWS\PULPIT\HIJACKTHIS.EX E

      R1 - HKCU\Software\Microsoft\Interne t Explorer\Main,Default_Page_URL =
      213.159.117.134/index.php
      R0 - HKCU\Software\Microsoft\Interne t Explorer\Main,Start Page =
      213.159.117.134/index.php
      R1 - HKLM\Software\Microsoft\Interne t Explorer\Main,Default_Page_URL =
      213.159.117.134/index.php
      R0 - HKLM\Software\Microsoft\Interne t Explorer\Main,Start Page =
      213.159.117.134/index.php
      R0 - HKCU\Software\Microsoft\Interne t Explorer\Main,Local Page =
      213.159.117.134/index.php
      R0 - HKLM\Software\Microsoft\Interne t Explorer\Main,Local Page =
      213.159.117.134/index.php
      R1 - HKCU\Software\Microsoft\Windows \CurrentVersion\Internet
      Settings,ProxyServer = 192.168.16.5
      R0 - HKCU\Software\Microsoft\Interne t Explorer\Toolbar,LinksFolderNam e = Łącza
      R3 - URLSearchHook: (no name) - {CA0E28FA-1AFD-4C21-A8DC-70EB5B E2F076} -
      C:\PROGRAM FILES\SURFSIDEKICK 2\SSKBHO.DLL
      O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
      O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
      O4 - HKLM\..\Run: [internat.exe] internat.exe
      O4 - HKLM\..\Run: [SystemTray] SysTray.ExE
      O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe
      powrprof.dll,LoadCurrentPwrSche me
      O4 - HKLM\..\Run: [Zasobnik systemowy] SysTray.Exe
      O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
      O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
      C:\WINDOWS\SYSTEM\NvCpl.dll,NvS tartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE
      C:\WINDOWS\SYSTEM\NvMcTray.dll, NvTaskbarInit
      O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia
      Keyboard\MMKeybd.exe
      O4 - HKLM\..\Run: [LexStart] Lexstart.exe
      O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe
      O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AV GCC.EXE /STARTUP
      O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AV GEMC.EXE
      O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AV GAMSVR.EXE
      O4 - HKLM\..\Run: [SurfSideKick 2] C:\PROGRAM FILES\SURFSIDEKICK 2\Ssk.exe
      O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe
      powrprof.dll,LoadCurrentPwrSche me
      O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
      O4 - HKCU\..\Run: [Gadu-Gadu] "C:\PROGRAM FILES\GADU-GADU\GG.EXE" /tray
      O4 - HKCU\..\Run: [SurfSideKick 2] C:\PROGRAM FILES\SURFSIDEKICK 2\Ssk.exe
      O4 - HKCU\..\RunServices: [Gadu-Gadu] "C:\PROGRAM FILES\GADU-GADU\GG.EXE" /tray
      O4 - HKCU\..\RunServices: [SurfSideKick 2] C:\PROGRAM FILES\SURFSIDEKICK 2
      \Ssk.exe
      O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa00 3c157a} -
      C:\WINDOWS\web\related.htm
      O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
      00aa003c157a} - C:\WINDOWS\web\related.htm
      O15 - Trusted IP range: 213.159.117.202
      O15 - Trusted IP range: 213.159.117.202 (HKLM)
      O17 - HKLM\System\CCS\Services\VxD\MS TCP: NameServer =
      194.204.159.1,194.204.152.34

      • Gość: piecyk gazowy Re: 124838, pomóżcie, proszę IP: *.tpnet.pl / *.tpnet.pl 19.01.05, 13:33
        Wydaje mi się, że identyczne badziewie usunąłem dwa razy tylko przy użyciu
        HijackThis.

        Wiesz, od kiedy to masz? Można spróbować przywrócić rejestr. Wybierz Start ->
        Zamknij system -> Zamknij i uruchom w trybie MS-DOS. Pojawi się wiersz poleceń:
        C:\Windows\>
        lub coś takiego.

        Wykonaj polecenie:

        scanreg /restore

        Pojawi się lista z zachowanymi rejestrami. Wybierz (strzałkami góra - dół) datę
        sprzed infekcji - jeśli taka jest i jeśli jesteś w stanie ją określić - i
        zatwierdź ją klawiszem enter. Jeśli nie jesteś w stanie określić daty, wybierz
        najwcześniejszą.
        • Gość: Sylwia Re: 124838, pomóżcie, proszę IP: *.lubartow.sdi.tpnet.pl 19.01.05, 13:46
          Piecyku, przywrócenie rejestru troszkę pomoblo- stroną startową jak dawniej
          jest GW. Niestety ikonki pozostaly, włączę HijackThis- moze teraz uda mi sie
          usunąć niechciane badziewie...
      • Gość: piecyk gazowy Re: 124838, pomóżcie, proszę IP: *.tpnet.pl / *.tpnet.pl 19.01.05, 13:41
        > R1 - HKCU\Software\Microsoft\Interne t Explorer\Main,Default_Page_URL =
        > 213.159.117.134/index.php
        > R0 - HKCU\Software\Microsoft\Interne t Explorer\Main,Start Page =
        > 213.159.117.134/index.php
        > R1 - HKLM\Software\Microsoft\Interne t Explorer\Main,Default_Page_URL =
        > 213.159.117.134/index.php
        > R0 - HKLM\Software\Microsoft\Interne t Explorer\Main,Start Page =
        > 213.159.117.134/index.php
        > R0 - HKCU\Software\Microsoft\Interne t Explorer\Main,Local Page =
        > 213.159.117.134/index.php
        > R0 - HKLM\Software\Microsoft\Interne t Explorer\Main,Local Page =
        > 213.159.117.134/index.php

        > R3 - URLSearchHook: (no name) - {CA0E28FA-1AFD-4C21-A8DC-70EB5B E2F076} -
        > C:\PROGRAM FILES\SURFSIDEKICK 2\SSKBHO.DLL

        > O4 - HKLM\..\Run: [SurfSideKick 2] C:\PROGRAM FILES\SURFSIDEKICK 2\Ssk.exe

        > O4 - HKCU\..\Run: [SurfSideKick 2] C:\PROGRAM FILES\SURFSIDEKICK 2\Ssk.exe

        > O4 - HKCU\..\RunServices: [SurfSideKick 2] C:\PROGRAM FILES\SURFSIDEKICK 2
        > \Ssk.exe

        > O15 - Trusted IP range: 213.159.117.202
        > O15 - Trusted IP range: 213.159.117.202 (HKLM)
        • Gość: Sylwia Re: 124838, pomóżcie, proszę IP: *.lubartow.sdi.tpnet.pl 19.01.05, 13:50
          Piecyku, jesteś NIESAMOWITY!!!!!!!!!
          Rzeczywiście cofnęłam sie w czasie!!!!!!!
          Już nie ma tego czego być nie powinno

          Ale ikony zostały, jak je usunąć? Najzwyklej w świecie wrzucić je do kosza??

          Zostało tyle:
          R0 - HKCU\Software\Microsoft\Interne t Explorer\Main,Start Page =
          www.gazeta.pl/
          R1 - HKCU\Software\Microsoft\Windows \CurrentVersion\Internet
          Settings,ProxyServer = 192.168.16.5
          R0 - HKCU\Software\Microsoft\Interne t Explorer\Toolbar,LinksFolderNam e = Łącza
          O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D 6BE0B3} -
          C:\PROGRAM FILES\ADOBE\ACROBAT 6.0 CE\READER\ACTIVEX\ACROIEHELPER. DLL
          O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9 082467} -
          C:\WINDOWS\SYSTEM\MSDXM.OCX
          O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
          O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
          O4 - HKLM\..\Run: [internat.exe] internat.exe
          O4 - HKLM\..\Run: [SystemTray] SysTray.ExE
          O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe
          powrprof.dll,LoadCurrentPwrSche me
          O4 - HKLM\..\Run: [Zasobnik systemowy] SysTray.Exe
          O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
          O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
          O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
          C:\WINDOWS\SYSTEM\NvCpl.dll,NvS tartup
          O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
          O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE
          C:\WINDOWS\SYSTEM\NvMcTray.dll, NvTaskbarInit
          O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia
          Keyboard\MMKeybd.exe
          O4 - HKLM\..\Run: [LexStart] Lexstart.exe
          O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe
          O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe
          powrprof.dll,LoadCurrentPwrSche me
          O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
          O4 - HKLM\..\RunServices: [Hidserv] Hidserv.exe run
          O4 - HKCU\..\Run: [Gadu-Gadu] "C:\PROGRAM FILES\GADU-GADU\GG.EXE" /tray
          O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa00 3c157a} -
          C:\WINDOWS\web\related.htm
          O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
          00aa003c157a} - C:\WINDOWS\web\related.htm
          O17 - HKLM\System\CCS\Services\VxD\MS TCP: NameServer =
          194.204.159.1,194.204.152.34

          :-))))))))))))))))))))))))))))) )))
          • Gość: piecyk gazowy Re: 124838, pomóżcie, proszę IP: *.tpnet.pl / *.tpnet.pl 19.01.05, 13:59
            Gość portalu: Sylwia napisał(a):

            > Ale ikony zostały, jak je usunąć? Najzwyklej w świecie wrzucić je do kosza??

            Tak, zwyczajne usuń. Sprawdź jeszcze dysk C, tam chyba też są.

            I najlepiej zmień przeglądarkę na Firefox.pl - jest większa szansa, że
            unikniesz w przyszłości takich niespodzianek.
            • m.gregor Re: 124838, pomóżcie, proszę 19.01.05, 14:09
              I dla pewnosci uzyj CWShredder (dzies tu sie szwendal link - uzywac przy
              zamknietych oknach IE) i raz na tydzien AdAware (tez gdzies tu ostatnio
              podawalem link).
            • Gość: Sylwia Re: 124838, pomóżcie, proszę IP: *.lubartow.sdi.tpnet.pl 19.01.05, 14:11
              Dziękuję, dziękuję, dziękuję, dziękuję
              :-))))))))))))))))))))))))))))) ))))))))))))))))))))))))))))
              Nie wiem, jak mam się odwdzięczyć
              Gdyby były święta pomyślałabym, że jesteś świętym Mikołajem, a tak pozostaniesz
              po prostu piecykiem gazowym, mam nadzieję, że gazu Ci nigdy nie zabraknie :-)))


              pozdrawiam,
              Sylwia
Pełna wersja