Log z Hijack This - kto mi pomoże please !!!!

[Gość: załamana totalnie]

ogfile of HijackThis v1.99.0
Scan saved at 18:11:24, on 2005-01-21
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.ex e
C:\WINDOWS\system32\services.ex e
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\systime.exe
C:\WINDOWS\nmmst.exe
C:\PROGRA~1\ALWILS~1\Avast4\ash Disp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\RUNDLL32.EX E
C:\Documents and Settings\Grazyna\Dane aplikacji\occe.exe
C:\WINDOWS\System32\n?svc32.exe
C:\WINDOWS\System32\systime.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Grazyna\Ustawienia lokalne\Temporary Internet
Files\Content.IE5\GF6UOOTV\Hija ckThis[1].exe

[m.gregor]

Wklej caly log a nie tylko poczatek...

[Gość: załamana totalnie]

O, kurcze - widziałam , że LOg jest krótki - a myślałam - że dlatego, że
jeszcze po niedawnym formatowaniu - nic więcej nie ma :)No, proszę - czytałam
juz takie odpowiedzi na forum - "wklej całego loga ", ale nie myślałam - że
też się tak zagapię :( Wstyd !!

Logfile of HijackThis v1.99.0
Scan saved at 18:11:24, on 2005-01-21
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.ex e
C:\WINDOWS\system32\services.ex e
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\systime.exe
C:\WINDOWS\nmmst.exe
C:\PROGRA~1\ALWILS~1\Avast4\ash Disp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\RUNDLL32.EX E
C:\Documents and Settings\Grazyna\Dane aplikacji\occe.exe
C:\WINDOWS\System32\n?svc32.exe
C:\WINDOWS\System32\systime.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Grazyna\Ustawienia lokalne\Temporary Internet
Files\Content.IE5\GF6UOOTV\Hija ckThis[1].exe

R1 - HKCU\Software\Microsoft\Interne t Explorer\Main,Default_Page_URL =
213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Interne t Explorer\Main,Start Page =
213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Interne t Explorer\Main,Default_Page_URL =
213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Interne t Explorer\Main,Start Page =
213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Interne t Explorer\Main,Local Page =
213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Interne t Explorer\Main,Local Page =
213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Interne t Connection Wizard,ShellNext =
www.google.pl/
R0 - HKCU\Software\Microsoft\Interne t Explorer\Toolbar,LinksFolderNam e = Łącza
O2 - BHO: (no name) - {7A9805BA-9359-E0A9-7D67-ECDC49 35E79C} -
C:\WINDOWS\System32\scbrkrls.dl l
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9 082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKLM\..\Run: [_Cat1] C:\WINDOWS\nmmst.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ash Disp.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32
\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Irdo] C:\Documents and Settings\Grazyna\Dane
aplikacji\occe.exe
O4 - HKCU\..\Run: [Nbwrjtr] C:\WINDOWS\System32\n?svc32.exe
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\Offi ce10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa00 3c157a} -
C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.iframedollars.biz
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.iframedollars.biz (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 213.159.117.202
O15 - Trusted IP range: 213.159.117.202 (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF3 3E833C} (WUWebControl Class) -
v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105892588046
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665 414BEF} (MediaTicketsInstaller
Control) - www.mt-download.com/MediaTicketsInstaller.cab?refid=2732
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE 20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Program Files\Alwil
Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Program Files\Alwil
Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil
Software\Avast4\ashMaiSv.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation -
C:\WINDOWS\System32\nvsvc32.exe

[m.gregor]

> R1 - HKCU\Software\Microsoft\Interne t Explorer\Main,Default_Page_URL =
> 213.159.117.134/index.php
> R0 - HKCU\Software\Microsoft\Interne t Explorer\Main,Start Page =
> 213.159.117.134/index.php
> R1 - HKLM\Software\Microsoft\Interne t Explorer\Main,Default_Page_URL =
> 213.159.117.134/index.php
> R0 - HKLM\Software\Microsoft\Interne t Explorer\Main,Start Page =
> 213.159.117.134/index.php
> R0 - HKCU\Software\Microsoft\Interne t Explorer\Main,Local Page =
> 213.159.117.134/index.php
> R0 - HKLM\Software\Microsoft\Interne t Explorer\Main,Local Page =
> 213.159.117.134/index.php
> O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
> O4 - HKLM\..\Run: [_Cat1] C:\WINDOWS\nmmst.exe
> O4 - HKCU\..\Run: [Irdo] C:\Documents and Settings\Grazyna\Dane
> aplikacji\occe.exe
> O4 - HKCU\..\Run: [Nbwrjtr] C:\WINDOWS\System32\n?svc32.exe
> O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
> O15 - Trusted Zone: *.blazefind.com
> O15 - Trusted Zone: *.clickspring.net
> O15 - Trusted Zone: *.flingstone.com
> O15 - Trusted Zone: *.iframedollars.biz
> O15 - Trusted Zone: *.mt-download.com
> O15 - Trusted Zone: *.my-internet.info
> O15 - Trusted Zone: *.searchbarcash.com
> O15 - Trusted Zone: *.searchmiracle.com
> O15 - Trusted Zone: *.skoobidoo.com
> O15 - Trusted Zone: *.slotch.com
> O15 - Trusted Zone: *.slotchbar.com
> O15 - Trusted Zone: *.windupdates.com
> O15 - Trusted Zone: *.ysbweb.com
> O15 - Trusted Zone: *.blazefind.com (HKLM)
> O15 - Trusted Zone: *.clickspring.net (HKLM)
> O15 - Trusted Zone: *.flingstone.com (HKLM)
> O15 - Trusted Zone: *.iframedollars.biz (HKLM)
> O15 - Trusted Zone: *.mt-download.com (HKLM)
> O15 - Trusted Zone: *.my-internet.info (HKLM)
> O15 - Trusted Zone: *.searchbarcash.com (HKLM)
> O15 - Trusted Zone: *.searchmiracle.com (HKLM)
> O15 - Trusted Zone: *.skoobidoo.com (HKLM)
> O15 - Trusted Zone: *.slotch.com (HKLM)
> O15 - Trusted Zone: *.slotchbar.com (HKLM)
> O15 - Trusted Zone: *.windupdates.com (HKLM)
> O15 - Trusted Zone: *.ysbweb.com (HKLM)
> O15 - Trusted IP range: 213.159.117.202
> O15 - Trusted IP range: 213.159.117.202 (HKLM)
> O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665 414BEF} (MediaTicketsInstaller
> Control) - www.mt-download.com/MediaTicket sInstaller.cab?refid=2732

To wszystko WON. Najlepiej wywalac w trybie awaryjnym (F8 na starcie systemu -
znaczy sie przed winietka Windows XP)

[Gość: załamana - ale juz]

Ogromnie dziękuję ! Tryb awaryjny -już uruchamiałam , mam natomiast problem -
gdzie teraz mam teraz wejsc, aby odhaczyć i wywalić to ?
Czytam wszystko na stronce picasso o hijackthis - ale albo juz niedowidzę albo
to wydaje sie zbyt proste :). Czy powinnam jeszcze raz sciagnac Hijackthis -
wybrać None of the above , just start a program ? Zapisać program w jakims
folderze ? Tylko jak to zrobic, zeby jeszcze raz zeskanował ? No, a potem wejsc
w tryb awaryjny, odszukac hijackthis - zaznaczyc to co chce usunac i FIX ?
Sorki, nie lubie robic czegos jesli nie wiem dokladnie jak :) :)

[m.gregor]

1) Na podanym linku do HiJackThis klikasz prawym klawiszem myszy
2) Wybierasz 'Zapisz element docelowy jako...' wskazujesz jakies miejsce gdzie
chcesz zapisac plik (najlatwiej pulpit).
3) Zapisujesz.
4) Tworzysz sobie na pulpicie dokument tekstowy (prawym na wolnym miejscu na
pulpicie -> Nowy -> Dokument tekstowy -> Nadac nazwe: np. do usuniecia.txt) i
wklejasz do niego to co ja Ci podalem do usuniecia (w poscie wczesniej).
5) Restartujesz komputer w trybie awaryjnym,
6) Uruchamiasz HiJackThis, wybierasz 'Do a system scan only' (loga juz nie
potrzebujesz).
7) Otwierasz sobie wczesniej utworzony plik tekstowy z pulpitu z zapisanymi
linijkami do wywalenia (do usuniecia.txt)
8) Zaznaczasz w HiJackThis to co masz wyrzucic i klikasz 'Fix checked'
9) Restartujesz komputer w normalnym trybie
10) Skanujesz ponownie komputer HiJackThis ('Do a system scan and save a
logfile'), tworzysz nowego loga i wklejasz nam tutaj jego zawartosc zeby
sprawdzic czy aby nic zlego nie ocalalo armageddonu :-)
Ufff :-) Ale tutorialik :-)

[Gość: juz nie załamana]

Stokrotne, ogromne dzięki za pomoc, niezwykłą cierpliwość i wyrozumiałość no i
lekcje :). Zrobiłam wszystko jak napisałeś - ale znowu pojawiło się 015 ?? ?
can saved at 23:33:13, on 2005-01-21

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.ex e
C:\WINDOWS\system32\services.ex e
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ash Disp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\RUNDLL32.EX E
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Grazyna\Ustawienia lokalne\Temp\Katalog tymczasowy 3
dla hijackthis1.99.zip\HijackThis.e xe

R1 - HKCU\Software\Microsoft\Interne t Connection Wizard,ShellNext =
www.google.pl/
R0 - HKCU\Software\Microsoft\Interne t Explorer\Toolbar,LinksFolderNam e = Łącza
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9 082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ash Disp.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32
\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\Offi ce10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa00 3c157a} -
C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted IP range: 213.159.117.202
O15 - Trusted IP range: 213.159.117.202 (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF3 3E833C} (WUWebControl Class) -
v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105892588046
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE 20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Program Files\Alwil
Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Program Files\Alwil
Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil
Software\Avast4\ashMaiSv.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation -
C:\WINDOWS\System32\nvsvc32.exe

[Gość: piecyk gazowy]

I jeszcze:

> O2 - BHO: (no name) - {7A9805BA-9359-E0A9-7D67-ECDC49 35E79C} -
> C:\WINDOWS\System32\scbrkrls.dl l

[Gość: :)]

Wszystko działa :) Tylko zastanawiam się - te dwa
015 - Trusted IP range: 213.159.117.202
O15 - Trusted IP range: 213.159.117.202 (HKLM)
wskoczyły- kiedy wchodziłam na internet- i pierwszą stonką był bielutki ekran ;
about blank. Teraz ustawiłam google - i już jest OK .
Jestem naprawdę ogromie wdzięczna za pomoc. Siedzę i myślę - kim jesteś - że
tak chce Ci się pomagać ludziom, poświęcać czas ? No bo odpowiadając tysięczny
raz na te same pytania - można mieć dość i irytować sie na głupotę innych ?

[m.gregor]

> 015 - Trusted IP range: 213.159.117.202
> O15 - Trusted IP range: 213.159.117.202 (HKLM)
Te dwa trzeba okazalo sie wywalac bezposrednio z rejestru. Ale jesli cos zle
wytniesz mozesz sobie zrobic krzywde wiec jesli nie czujesz sie na silach to po
prostu powierz to komus innemu kto ma o tym pojecie.
W sumie to chyba nie sa grozne wpisy (nic nie uruchamiaja).

[Gość: załamana :)nie bar]

Dziękuję - o usuwaniu przez rejestr czytałam tu na forum - dokładny opis co i
jak robic - skopiowałam i czytam....A dzisiaj znowu przy wejściu na Internet -
dokładnie ten sam wirus się pojawia, Avast alarmuje - ale chyab nie usuwał - po
po zamknięciu IE , ponownym uruchomieniu - ta sama stronka sie otwiera :(
Avast "wyje". Ukazuje sie lokalizacja wirusa- więc chyba mogłabym odnależć
plik - i spróbować ręcznie ( w trybie awaryjnym, przy wyłączonym przywracaniu
systemu ) usunąć plik ? Pytam - bo słyszałam - że wirus może usadowić sie w
pliku - w którym są potrzebne dane - no i usuwajac plik - razem z wirusem
wywalę - coś co jest niezbędne ? Plik zarażony, ktory pokazuje Avast- to
C:/Dokument and settings/..ustawienia lokalne/ temporary internet.
A czy mógłbyś napisać - czy gdybym chciała usunąć to z rejestru - to powinnam
szukać w HKEY_LOCAL_MACHINE\Software\Mic rosoft\Windows\CurrentVersion\R un
ale - gdzie potem ? Przeskanowalam dzisiaj jeszcze raz Hijack This - i teraz
pozatym logiem 015 , ktory sie nie usunął - pojawiły sie Ro i R1 - tez z
literkami , ( bo wiem które Ro, R1 - należy zostawić ) ktore wczoraj
usunęłam . Dzisiaj - niestety - usunąć już ich nie mogłam . Czyli wirus dalej
jest :)

[Gość: piecyk gazowy]

Włącz zaporę: www.microsoft.com/poland/security/articles/use_icf.mspx
i jeszcze raz usuń wpisy.

[Gość: załamana]

Od początku- miałam i mam zaporę włączoną. Zanim skanowałam - ściągnęłam
wszystkie Update
CZy Hijack This - trzeba za każdym razem ściągać ? Może głupie pytanie - ale
kiedy usuwałam pierwszy raz - kasowanie się udało - oprócz tych dwóch 015.
Teraz kolejny raz - wyłaczyłam przywracanie systemu, weszłam w tryb awaryjny,
zeskanowałam Hijackiem - zaznaczyłąm to so chciałm usunąć - ( Ro i R1 , 015 )-
no i ponownym skanowaniu Hijack pokazuje ze nic nie usunął - nie wiem czemu ?
Przecież wczoraj - te R0 i R1 -udało się usunąć ? I co teraz mam robić ?
Pliku z wirusem , który pokazuje mi Avast - nie mogę znaleźć :(

[Gość: piecyk gazowy]

Gość portalu: załamana napisał(a):

> Od początku- miałam i mam zaporę włączoną. Zanim skanowałam - ściągnęłam
> wszystkie Update

Ale update czego? Windows masz goły, tj. bez żadnych poprawek.

> CZy Hijack This - trzeba za każdym razem ściągać ?

Nie trzeba.

> Może głupie pytanie - ale
> kiedy usuwałam pierwszy raz - kasowanie się udało - oprócz tych dwóch 015.
> Teraz kolejny raz - wyłaczyłam przywracanie systemu, weszłam w tryb awaryjny,
> zeskanowałam Hijackiem - zaznaczyłąm to so chciałm usunąć - ( Ro i R1 , 015 )-
> no i ponownym skanowaniu Hijack pokazuje ze nic nie usunął - nie wiem czemu ?
> Przecież wczoraj - te R0 i R1 -udało się usunąć ? I co teraz mam robić ?
> Pliku z wirusem , który pokazuje mi Avast - nie mogę znaleźć :(

Wklej jeszcze raz nowego loga.

[Gość: załamana]

Ściągałam Udate Windowsa - i widziałam na własne oczy - jak instalował
wszystkie poprawki - byłam pewna że są -skoro pisało " gotowe " (Kiedyś nie
udało sie zaistalować- i wtedy ukazywał się napis- nie udało
się "zainstalowac" ..Nic już nie rozumiem
Logfile of HijackThis v1.99.0
Scan saved at 14:03:40, on 2005-01-22
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.ex e
C:\WINDOWS\system32\services.ex e
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ash Disp.exe
C:\WINDOWS\System32\systime.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\RUNDLL32.EX E
C:\WINDOWS\System32\systime.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Grazyna\Ustawienia lokalne\Temp\Katalog tymczasowy 4
dla hijackthis1.99.zip\HijackThis.e xe

R1 - HKCU\Software\Microsoft\Interne t Explorer\Main,Default_Page_URL =
213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Interne t Explorer\Main,Start Page =
213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Interne t Explorer\Main,Default_Page_URL =
213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Interne t Explorer\Main,Start Page =
213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Interne t Explorer\Main,Local Page =
213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Interne t Explorer\Main,Local Page =
213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Interne t Connection Wizard,ShellNext =
www.google.pl/
R0 - HKCU\Software\Microsoft\Interne t Explorer\Toolbar,LinksFolderNam e = Łącza
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9 082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ash Disp.exe
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32
\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\Offi ce10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa00 3c157a} -
C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted IP range: 213.159.117.202
O15 - Trusted IP range: 213.159.117.202 (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF3 3E833C} (WUWebControl Class) -
v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105892588046
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE 20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Program Files\Alwil
Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Program Files\Alwil
Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil
Software\Avast4\ashMaiSv.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation -
C:\WINDOWS\System32\nvsvc32.exe

[Gość: piecyk gazowy]

Gość portalu: załamana napisał(a):

> Platform: Windows XP (WinNT 5.01.2600)

Gdybyś miała wszystkie poprawki, byłoby tu informacja np. taka:
Platform: Windows XP SP 2(WinNT 5.01.2600)
U Ciebie nawet nie ma SP 1

Do wywalenia:

> R1 - HKCU\Software\Microsoft\Interne t Explorer\Main,Default_Page_URL =
> 213.159.117.134/index.php
> R0 - HKCU\Software\Microsoft\Interne t Explorer\Main,Start Page =
> 213.159.117.134/index.php
> R1 - HKLM\Software\Microsoft\Interne t Explorer\Main,Default_Page_URL =
> 213.159.117.134/index.php
> R0 - HKLM\Software\Microsoft\Interne t Explorer\Main,Start Page =
> 213.159.117.134/index.php
> R0 - HKCU\Software\Microsoft\Interne t Explorer\Main,Local Page =
> 213.159.117.134/index.php
> R0 - HKLM\Software\Microsoft\Interne t Explorer\Main,Local Page =
> 213.159.117.134/index.php

> O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe

> O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe

> O15 - Trusted IP range: 213.159.117.202
> O15 - Trusted IP range: 213.159.117.202 (HKLM)

Ale rozumiem, że wpisy wracają jak bumerang? Ściągnij i zapisz skrypt Silent
Runners: www.silentrunners.org/Silent%20Runners.vbs

Uruchom i odczekaj chwilę - zostanie utworzony plik tekstowy, wklej jego
zawartość na forum.

wpis z silentrunner

[Gość: załamana]

"Silent Runners.vbs", revision 30
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
-----------------------------

[netsec]

W trybie awaryjnym skasuj plik:
C:\WINDOWS\System32\systime.exe

[Gość: załamana]

skasowałam w trybie awaryjnym, wcześniej wyłaczyłam przywaracnie systemu - ale
wciąz przy wchodzeniu na iE - wskakuje jako strona startowa "cool web search",
Awast uruchamia alarm ale nie usuwa wirusa :) Hijack This - tez nic nie
usuwa. :MKS- nie moge zinstalować (Dziwne tylko ,bo kiedy weszłam na stone
Windows Update- przez start- alarm sie nie uruchamiał )Czytałam - jak przez
rejestr ustawic strone startowa- ale czy to spowoduje ze wirus bedzie
nieaktywny ?

[Gość: piecyk gazowy]

Spróbuj jeszcze CWShreddera: cwshredder.net/bin/CWSInstall.exe
Przed uruchomieniem zamknij wszystkie okna IE.

[Gość: załamana]

CWShreddera mam . CZy powinnam kliknąć Fix ? On działa inaczej niz hijack
This ?

[Gość: załamana]

zamuliło mnie - z tym jasne ze FIX !!!
CWSreder nic nie wykrył- "ypor computer is cleaned ":) , a mi znowu wyskakuje
stronka startowa "about blank".
O rany , kiedyś gdy czytałąm tutaj o walce z wirusami- cieszyłam się że mnie to
jakoś nie dotyczy :(. A teraz.... czytam, dużo więćej wiem niż kiedyś - i
co ??? Wirus sie panoszy!!! Win32 Dialer Y

[Gość: piecyk gazowy]

www.searchengines.pl/phpbb203/index.php?showtopic=14185&st=50&#entry114910

Nie wiem - ale chyba cos się poprawiło

[Gość: juz chyba ok ???]

Serdeczne, ogromne dzięki - Tę świetną stronkę , której adres mi przysłałeś -
czytałam wiele razy od dwoch dni. I wiele się dowiedziałam. Ale wiesz gdybyś
wiedział gdzie w taki prosty sposób jest napisane o wirusach - to przyślij. Bo
teraz w końcu zainstalowałam MKS ( przedtem wywalało mi bład - silnik nie
został zainstalowany ). Przypomniałam sobie - że kilka dni wcześniej kiedy
usiłowałam sćiągną mks- pojawił mi się taki sam bład - więc w programach
sprawdziłam - coś z MKS jedak się ściągnęło - usunęłam to , zainstalowałąm mks -
na nowo. W czasie skanowania - wykrył i usunął 4 wirusy . No i tego nie
rozumiem!!! Sądziłam że jeśli Avast - cały czas jest włączony - to nic nie
powinno się dostać . No a jakiej jest twoje zdanie o mks ?

[netsec]

Bez aktualizacji systemu i 100 antywirusów nic ci nie da :)

[Gość: juz nie załamana t]

No właśnie - o to pytam piecyka gazowego - w następnym poście - czy mógłbyś tam
zerknąć ?

[netsec]

Dobrze będzie jak wkleisz raz jeszcze aktualny log z HJ.
Łatwiej będzie się zorientować co teraz jest w Twoim systemie.