Dodaj do ulubionych

Trj/Qhost.Q / help!!!

IP: 195.205.245.* 29.01.05, 11:36
avg oraz skaner online Pandy wykrywa lecz nie potrafi usunac ;/ mam
zarazone 3 pliki ( przypuszczalnie) jakei szkody niesie za soba
egzystencja owego wirusa na moim kompie, i jak usunac ewntualnie??? z gory
thx!
Obserwuj wątek
      • Gość: misiek Re: Trj/Qhost.Q / help!!! IP: *.internetdsl.tpnet.pl 16.02.05, 13:07
        witam. mógłbym prosić o to samo co poprzednicy? tutaj problem jest z
        trojanem 'Startpage.16.BD' uruchamia sie przy kazdorazowym uruchomieniu IE :( w
        pliku C:\WINDOWS\TEMP\se.dll AVG mi go usuwa, ale gdy na nowo włącze pustego
        IE (about:blank) ten na nowo sie odradza.
        z góry dziekuje i pozdrawiam

        Logfile of HijackThis v1.99.1
        Scan saved at 13:03:41, on 2005-02-16
        Platform: Windows ME (Win9x 4.90.3000)
        MSIE: Internet Explorer v5.50 (5.50.4134.0100)

        Running processes:
        C:\WINDOWS\SYSTEM\KERNEL32.DLL
        C:\WINDOWS\SYSTEM\MSGSRV32.EXE
        C:\WINDOWS\SYSTEM\mmtask.tsk
        C:\WINDOWS\SYSTEM\MPREXE.EXE
        C:\WINDOWS\SYSTEM\MSTASK.EXE
        C:\WINDOWS\EXPLORER.EXE
        C:\WINDOWS\SYSTEM\CMMPU.EXE
        C:\WINDOWS\TASKMON.EXE
        C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
        C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGCC.EXE
        C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGEMC.EXE
        C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGAMSVR.EXE
        C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
        C:\WINDOWS\SYSTEM\DDHELP.EXE
        C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
        D:\MOJE DOKUMENTY\PROGRAMY\HIJACKTHIS.EXE

        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
        res://C:\WINDOWS\TEMP\se.dll/sp.html
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
        res://C:\WINDOWS\TEMP\se.dll/sp.html
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
        R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
        about:blank
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
        about:blank
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
        F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe
        O2 - BHO: (no name) - {0D7ABB9B-01E4-45EF-BA65-BBCD2BD1146F} -
        C:\WINDOWS\SYSTEM\BGIE.DLL
        O3 - Toolbar: @msdxmLC.dll,-1@1045,&Radio - {8E718888-423F-11D2-876E-
        00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
        O4 - HKLM\..\Run: [Windows Millennium Edition Intro Video] C:\WINDOWS\Applic~1
        \Micros~1\Intro\content.hta
        O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
        O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
        O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
        O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
        O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe
        powrprof.dll,LoadCurrentPwrScheme
        O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
        O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
        O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
        O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe
        powrprof.dll,LoadCurrentPwrScheme
        O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
        O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
        O4 - Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common
        Files\Adobe\Calibration\Adobe Gamma Loader.exe
        O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
        C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
        O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-
        00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
        O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer =
        194.204.152.34,194.204.159.1
        O18 - Filter: text/html - {BD751A45-241B-496F-8A1A-CDE928CD6BD9} -
        C:\WINDOWS\SYSTEM\BGIE.DLL
        O18 - Filter: text/plain - {BD751A45-241B-496F-8A1A-CDE928CD6BD9} -
        C:\WINDOWS\SYSTEM\BGIE.DLL
        • Gość: piecyk gazowy Re: Trj/Qhost.Q / help!!! IP: *.tpnet.pl / *.tpnet.pl 16.02.05, 13:44
          Najlepiej w trybie awaryjnym; zaznacz poniższe pozycje i wciśnij Fix Checked:

          > R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
          > res://C:\WINDOWS\TEMP\se.dll/sp.html
          > R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
          > R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
          > res://C:\WINDOWS\TEMP\se.dll/sp.html
          > R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
          > R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
          > about:blank
          > R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
          > about:blank
          > R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
          > R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

          > O2 - BHO: (no name) - {0D7ABB9B-01E4-45EF-BA65-BBCD2BD1146F} -
          > C:\WINDOWS\SYSTEM\BGIE.DLL

          > O4 - HKLM\..\Run: [Windows Millennium Edition Intro Video] C:\WINDOWS\Applic~1
          > \Micros~1\Intro\content.hta

          > O18 - Filter: text/html - {BD751A45-241B-496F-8A1A-CDE928CD6BD9} -
          > C:\WINDOWS\SYSTEM\BGIE.DLL
          > O18 - Filter: text/plain - {BD751A45-241B-496F-8A1A-CDE928CD6BD9} -
          > C:\WINDOWS\SYSTEM\BGIE.DLL
          • Gość: misiek Re: Trj/Qhost.Q / help!!! IP: *.internetdsl.tpnet.pl 16.02.05, 14:36
            dzieki za pomoc. pewna czesc rzeczy sam usunalem zanim odpisales, ale nie
            wszystko jednak. teraz niby wszystko jest w porzadku, to znaczy przy wlaczaniu
            nowego okna IE nie generuje sie w TEMP plik se.dll, mam about:blank zmiast tej
            wyszukiwarki, jest tylko jeden problem jeszcze. w dodaj/ usun programy widnieje
            taka oto rzecz: Search Assistant Uninstall. kiedy probuje to odinstalowac
            pokazuje sie komunikat 'uninstall failed!' (w malym windowsowym komunikacie) i
            na nowo odradza sie plik se.dll, AVG komunikuje ze to jest wirus i cala bajka
            zaczyna sie na nowo. pytanie wiec jak usunac to Search Assistant. problem jest
            teoretycznie rozwiazany, ale powierzchowni bo zrodło wciąż tkwi w komputerze.
            jesli moglbys cos poradzic...

            pozdrawiam :-)
              • Gość: misiek Re: Trj/Qhost.Q / help!!! IP: *.internetdsl.tpnet.pl 18.02.05, 18:35
                oto on:

                Running processes:
                C:\WINDOWS\SYSTEM\KERNEL32.DLL
                C:\WINDOWS\SYSTEM\MSGSRV32.EXE
                C:\WINDOWS\SYSTEM\mmtask.tsk
                C:\WINDOWS\SYSTEM\MPREXE.EXE
                C:\WINDOWS\SYSTEM\MSTASK.EXE
                C:\WINDOWS\EXPLORER.EXE
                C:\WINDOWS\SYSTEM\CMMPU.EXE
                C:\WINDOWS\TASKMON.EXE
                C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
                C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGCC.EXE
                C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGEMC.EXE
                C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGAMSVR.EXE
                C:\WINDOWS\SYSTEM\DDHELP.EXE
                C:\WINDOWS\SYSTEM\SPOOL32.EXE
                D:\MOJE DOKUMENTY\PROGRAMY\HIJACKTHIS.EXE

                R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
                F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe
                O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
                C:\PROGRAM FILES\ADOBE\ACROBAT 5.0 CE\READER\ACTIVEX\ACROIEHELPER.OCX
                O3 - Toolbar: @msdxmLC.dll,-1@1045,&Radio - {8E718888-423F-11D2-876E-
                00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
                O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
                O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
                O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
                O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
                O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe
                powrprof.dll,LoadCurrentPwrScheme
                O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
                O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
                O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
                O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe
                powrprof.dll,LoadCurrentPwrScheme
                O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
                O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
                O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
                C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
                O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-
                00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
                O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer =
                194.204.152.34,194.204.159.1

                ===============

                pousuwałem chyba to co podejrzanie wyglądało, wiec podczas korzystania z
                komputera z reguły nie ma problemu. chociaz Search Assistant Uninstall dalej w
                dodaj/usun programy tkwi. jest ok poki sie go nie rusza :/ Napisałem ze z
                reguły nie ma problemu, bo zdarzyło mi sie kila razy, ze zaraz po włączeniu
                komputera tak na dzień dobry plik se.dll i AVG z komunikatem o wirusie mnie
                przywitało. wtedy HijackThis w ruch, wywalanie tego co zawsze i podczas
                normalnego uzytkowania komputera jest wszystko ok. Był jeszcze jeden problem
                który napotkałem: Po przeskanowaniu całego dysku AVG, znalazł mi 6
                zainfekowanych plików w lokalizacji: C:\_RESTORE\TEMP\ pliki są z rozszerzeniem
                *.CPY i zaden antywir nie mógł sobie z nimi poradzić. teraz tych plików w ogóle
                nie ma, jsetem tym bardzo zdziwiony, ale nie to nie znaczy ze one nie wrócą w
                tak samo cudny sposób jak zniknęły. no to sie napisałem :-) i co ty na to?
                dzieki za pomoc
      • Gość: Aneta Re: Trj/Qhost.Q / help!!! IP: *.dsl.emhril.ameritech.net 18.02.05, 16:10
        Czy ja moge rowniez prosic o sprawdzenie,
        Logfile of HijackThis v1.99.1
        Scan saved at 9:05:53 AM, on 2/18/2005
        Platform: Windows XP SP1 (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\Program Files\Common Files\STOPzilla!\SZServer.exe
        C:\WINDOWS\system32\spoolsv.exe
        C:\WINDOWS\System32\svchost.exe
        C:\nowe\antywirus\WinAntiVirus 2004\AVSvc.exe
        C:\nowe\antywirus\WinAntiVirus 2004\AVSchSvc.exe
        C:\WINDOWS\Explorer.EXE
        C:\WINDOWS\AGRSMMSG.exe
        C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
        C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
        C:\Program Files\Acer\Notebook Manager\almxptray.exe
        C:\WINDOWS\System32\igfxtray.exe
        C:\WINDOWS\System32\hkcmd.exe
        C:\Program Files\Launch Manager\QtZgAcer.EXE
        C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
        C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
        C:\Program Files\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe
        C:\Program Files\Yahoo!\browser\ybrwicon.exe
        C:\Program Files\BroadJump\Client Foundation\CFD.exe
        C:\Program Files\Visual Networks\Visual IP InSight\SBC\IPClient.exe
        C:\PROGRA~1\HEWLET~1\PHOTOS~1\HPSHAR~1\hpgs2wnf.exe
        C:\PROGRA~1\YAHOO!\browser\ycommon.exe
        C:\Program Files\Visual Networks\Visual IP InSight\SBC\IPMon32.exe
        C:\PROGRA~1\SBCSEL~1\SMARTB~1\MotiveSB.exe
        C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
        C:\nowe\antywirus\WinAntiVirus 2004\AVTray.exe
        C:\Program Files\Acceleration Software\Anti-Virus\stopsignav.exe
        C:\Program Files\STOPzilla!\Stopzilla.exe
        C:\Program Files\Messenger\msmsgs.exe
        C:\Program Files\Gadu-Gadu\gg.exe
        C:\nowe\antywirus\WinAntiVirus 2004\Quar.exe
        C:\Program Files\Sony Corporation\Picture Package\Picture Package
        Applications\Residence.exe
        C:\Program Files\Common Files\WinSoftware\VapFM.exe
        C:\Program Files\Sony Corporation\Picture Package\Picture Package
        Menu\SonyTray.exe
        C:\Program Files\SBC Self Support Tool\bin\mad.exe
        C:\Program Files\SBC Self Support Tool\bin\mpbtn.exe
        C:\PROGRA~1\Motive\ASSTCO~1\MOTIVE~1.EXE
        C:\darek prze\mozilla.exe
        C:\Program Files\Internet Explorer\IEXPLORE.EXE
        C:\Program Files\Windows Media Player\wmplayer.exe
        C:\Documents and Settings\User\Local Settings\Temporary Internet
        Files\Content.IE5\BECNJ9O1\HijackThis[1].exe

        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
        res://C:\DOCUME~1\User\LOCALS~1\Temp\se.dll/sp.html
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = yahoo.com
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
        res://C:\DOCUME~1\User\LOCALS~1\Temp\se.dll/sp.html
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
        R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
        about:blank
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
        about:blank
        R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
        red.clientapps.yahoo.com/customize/ie/defaults/su/sbcydsl/*http://www.yahoo.com
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
        R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
        global.acer.com/
        R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
        Settings,ProxyOverride = 127.0.0.1
        F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
        O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} -
        C:\Program Files\Yahoo!\Common\ycomp5_1_6_0.dll
        O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
        C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
        O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
        O2 - BHO: (no name) - {6DE42FB9-E73D-4921-8F2A-C7A15C9A5C9D} -
        C:\WINDOWS\System32\iejj.dll
        O2 - BHO: STOPzilla Browser Helper Object - {E3215F20-3212-11D6-9F8B-
        00D0B743919D} - C:\Program Files\STOPzilla!\SZIEBHO.dll
        O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
        C:\WINDOWS\System32\msdxm.ocx
        O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -
        C:\Program Files\Yahoo!\Common\ycomp5_1_6_0.dll
        O4 - HKLM\..\Run: [LaunchApp] Alaunch
        O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
        O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
        O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
        O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
        O4 - HKLM\..\Run: [AcerNotebookManager] C:\Program Files\Acer\Notebook
        Manager\almxptray.exe
        O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
        O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
        O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXE
        O4 - HKLM\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
        O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Program Files\Elaborate
        Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
        O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
        O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32
        \spool\drivers\w32x86\3\hpztsb04.exe
        O4 - HKLM\..\Run: [CXMon] "C:\Program Files\Hewlett-Packard\PhotoSmart\Photo
        Imaging\Hpi_Monitor.exe"
        O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-
        Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe
        O4 - HKLM\..\Run: [YBrowser] C:\Program Files\Yahoo!\browser\ybrwicon.exe
        O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
        O4 - HKLM\..\Run: [IPInSightLAN 02] "C:\Program Files\Visual Networks\Visual IP
        InSight\SBC\IPClient.exe" -l
        O4 - HKLM\..\Run: [IPInSightMonitor 02] "C:\Program Files\Visual
        Networks\Visual IP InSight\SBC\IPMon32.exe"
        O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\SBCSEL~1\SMARTB~1
        \MotiveSB.exe
        O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06
        \bin\jusched.exe
        O4 - HKLM\..\Run: [AVTray] C:\nowe\antywirus\WinAntiVirus 2004\AVTray.exe
        O4 - HKLM\..\Run: [StopSignStatus] Rundll32.exe "C:\Program Files\Common
        Files\eAcceleration\Installer\stopsinfo.dll",VerifyStatus
        O4 - HKLM\..\Run: [webscan] C:\Program Files\Acceleration Software\Anti-
        Virus\stopsignav.exe -k
        O4 - HKLM\..\Run: [eanth_critical_update_alert] C:\PROGRA~1\ACCELE~1\ANTI-V~1
        \EANTH_~1.EXE /Startup
        O4 - HKLM\..\Run: [STOPzilla] C:\Program Files\STOPzilla!
        \Stopzilla.exe /autostart
        O4 - HKLM\..\RunOnce: [StopSignStatus] Rundll32.exe "C:\Program Files\Common
        Files\eAcceleration\Installer\stopsinfo.dll",VerifyStatus /ro
        O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
        O4 - HKCU\..\Run: [Yahoo! Pager] 1
        O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
        O4 - HKCU\..\Run: [Spyware Begone] C:\freescan\freescan.exe -FastScan
        O4 - Global Startup: Picture Package VCD Maker.lnk = ?
        O4 - Global Startup: Picture Package Menu.lnk = ?
        O4 - Global Startup: SBC Self Support Tool.lnk = C:\Program Files\SBC Self
        Support Tool\bin\matcli.exe
        O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
        O8 - Extra context menu item: Yahoo! Dictionary - file:///C:\Program
        Files\Yahoo!\Common/ycdict.htm
        O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!
        \Common/ycsrch.htm
        O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
        C:\WINDOWS\System32\msjava.dll
        O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5
        • Gość: piecyk gazowy Re: Trj/Qhost.Q / help!!! IP: *.tpnet.pl / *.tpnet.pl 18.02.05, 18:00
          Gość portalu: Aneta napisał(a):

          > Logfile of HijackThis v1.99.1

          O, nowa wersja!

          Nie zmieścił się cały log.

          Zaznacz poniższe pozycje i wciśnij Fix Checked:

          R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
          res://C:\DOCUME~1\User\LOCALS~1\Temp\se.dll/sp.html
          R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
          R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = yahoo.com
          R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
          res://C:\DOCUME~1\User\LOCALS~1\Temp\se.dll/sp.html
          R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
          R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
          about:blank
          R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
          about:blank
          R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
          red.clientapps.yahoo.com/customize/ie/defaults/su/sbcydsl/*www.yahoo.com
          R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
          R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
          R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
          global.acer.com/

          F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe

          O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
          O2 - BHO: (no name) - {6DE42FB9-E73D-4921-8F2A-C7A15C9A5C9D} -
          C:\WINDOWS\System32\iejj.dll

          O4 - HKLM\..\Run: [LaunchApp] Alaunch

          O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
          O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

          O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXE

          O4 - HKLM\..\Run: [StopSignStatus] Rundll32.exe "C:\Program Files\Common
          Files\eAcceleration\Installer\stopsinfo.dll",VerifyStatus
          O4 - HKLM\..\Run: [webscan] C:\Program Files\Acceleration Software\Anti-
          Virus\stopsignav.exe -k
          O4 - HKLM\..\Run: [eanth_critical_update_alert] C:\PROGRA~1\ACCELE~1\ANTI-V~1
          \EANTH_~1.EXE /Startup

          O4 - HKLM\..\RunOnce: [StopSignStatus] Rundll32.exe "C:\Program Files\Common
          Files\eAcceleration\Installer\stopsinfo.dll",VerifyStatus /ro

          O4 - HKCU\..\Run: [Spyware Begone] C:\freescan\freescan.exe -FastScan

          O4 - Global Startup: SBC Self Support Tool.lnk = C:\Program Files\SBC Self
          Support Tool\bin\matcli.exe
          O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      • karrla Re: Trj/Qhost.Q / help!!! 05.03.05, 15:33
        Logfile of HijackThis v1.99.1
        Scan saved at 15:32:28, on 2005-03-05
        Platform: Windows XP (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 (6.00.2600.0000)

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\system32\spoolsv.exe
        C:\WINDOWS\Explorer.EXE
        C:\WINDOWS\System32\nvsvc32.exe
        C:\Program Files\Common Files\YDP\UserAccessManager\useraccess.exe
        C:\Program Files\Ahead\InCD\InCD.exe
        C:\WINDOWS\htpatch.exe
        C:\WINDOWS\System32\RunDll32.exe
        C:\Program Files\Winamp\winampa.exe
        C:\Program Files\D-Tools\daemon.exe
        C:\WINDOWS\System32\ctfmon.exe
        C:\Program Files\Messenger\msmsgs.exe
        C:\WINDOWS\System32\RUNDLL32.EXE
        C:\Program Files\LightSurf\Common\IconMgr.exe
        C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe
        C:\Program Files\Wireless LAN Utility\Am772cfg.exe
        C:\Program Files\LightSurf\Colorific\hgcctl95.exe
        C:\Program Files\LightSurf\Color Indicator\TICIcon.exe
        C:\Program Files\Gadu-Gadu\Gadu-Gadu\gg.exe
        C:\Program Files\Internet Explorer\iexplore.exe
        C:\WINDOWS\System32\msipcsv.exe
        C:\HijackThis.exe

        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
        www.onet.pl/
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
        O2 - BHO: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
        O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program
        Files\MyWay\myBar\1.bin\MYBAR.DLL
        O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
        C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
        O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} -
        C:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll
        O2 - BHO: CIEStub Class - {EBBFE27C-BDF0-11D2-BBE5-00609419F467} -
        C:\WINDOWS\System32\amcis2.dll
        O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
        C:\WINDOWS\System32\msdxm.ocx
        O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} -
        C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
        O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
        O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
        O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
        O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
        O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
        O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
        \NvCpl.dll,NvStartup
        O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
        O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
        O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -
        lang 1033
        O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
        O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
        O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32
        \NVMCTRAY.DLL,NvTaskbarInit
        O4 - HKCU\..\Run: [Skype] "C:\Program
        Files\Skype\Phone\Skype.exe" /nosplash /minimized
        O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\Gadu-
        Gadu\gg.exe" /tray
        O4 - Startup: AM772CFG.lnk = ?
        O4 - Global Startup: Lightsurf.lnk = C:\Program
        Files\LightSurf\Common\IconMgr.exe
        O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
        Office\Office\OSA9.EXE
        O4 - Global Startup: Image Transfer.lnk = ?
        O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
        C:\WINDOWS\web\related.htm
        O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
        00aa003c157a} - C:\WINDOWS\web\related.htm
        O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
        O16 - DPF: komentator - sport.onet.pl/komentator.cab
        O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) -
        www.bph.pl/pi/components/SignActivX.cab
        O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
        www.pandasoftware.com/activescan/as5/asinst.cab
        O17 - HKLM\System\CCS\Services\Tcpip\..\{CBE9052E-4A17-4800-BE86-1CAF72FFAE51}:
        NameServer = 194.204.159.1,195.116.213.33
        O18 - Protocol: textwareilluminatorbase - {CE5CD329-1650-414A-8DB0-
        4CBF72FAED87} - C:\WINDOWS\System32\textwareilluminatorbaseProtocol.dll
        O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
        C:\WINDOWS\System32\nvsvc32.exe
        O23 - Service: Securom User Access for Windows 2000 and Windows XP a technology
        by Sony DADC (UserAccess) - Unknown owner - C:\Program Files\Common
        Files\YDP\UserAccessManager\useraccess.exe
    • Gość: sara Re: Trj/Qhost.Q / help!!! IP: *.wroclaw.dialog.net.pl 01.02.05, 13:58
      Czy rónież mogę prosić o sprawdzenie?




      Logfile of HijackThis v1.99.0
      Scan saved at 13:53:29, on 2005-02-01
      Platform: Windows XP (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 (6.00.2600.0000)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.ex e
      C:\WINDOWS\system32\services.ex e
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\AVPersonal\AVGUARD.EXE
      C:\Program Files\AVPersonal\AVWUPSRV.EXE
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Internet Explorer\iexplore.exe
      D:\Siec\wirusy\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Interne t Explorer\Main,Start Page =
      www.wp.pl/
      R0 - HKCU\Software\Microsoft\Interne t Explorer\Toolbar,LinksFolderNam e = Łącza
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D 6BE0B3} -
      C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper .ocx
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9 082467} -
      C:\WINDOWS\System32\msdxm.ocx
      O4 - HKLM\..\Run: [win_upd2.exe] C:\WINDOWS\System32\WINdirect.e xe
      O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
      O4 - HKCU\..\Run: [key] C:\WINDOWS\System32\sysxp.exe
      O4 - HKCU\..\Run: [win_upd2.exe] C:\WINDOWS\System32\WINdirect.e xe
      O4 - HKCU\..\Run: [bawindo] C:\WINDOWS\System32\bawindo.exe
      O4 - Startup: PalNetaware.lnk = C:\Paltalk\pnetaware.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
      Office\Office\OSA9.EXE
      O4 - Global Startup: PsiWin 2.3 Connection Server.lnk = C:\Program
      Files\Psion\PsiWin\Psconsv.exe
      O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa00 3c157a} -
      C:\WINDOWS\web\related.htm
      O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
      00aa003c157a} - C:\WINDOWS\web\related.htm
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F 795683} -
      C:\Program Files\Messenger\MSMSGS.EXE
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
      00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
      O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
      O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE 20BDF7} (MainControl Class) -
      skaner.mks.com.pl/SkanerOnline.cab
      O17 - HKLM\System\CCS\Services\Tcpip\ ..\{6F3AAD09-6CA4-45EE-992B-C7A BDC80705B}:
      NameServer = 217.30.129.149 217.30.137.200
      O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Program
      Files\AVPersonal\AVGUARD.EXE
      O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Program
      Files\AVPersonal\AVWUPSRV.EXE
      O23 - Service: MkS_Vir Monitor - Unknown - C:\Program
      Files\MKS\Bin\mksmonsv.exe (file missing)

      • Gość: piecyk gazowy Re: Trj/Qhost.Q / help!!! IP: *.tpnet.pl / *.tpnet.pl 01.02.05, 15:21
        Do wyrzucenia:

        > O4 - HKLM\..\Run: [win_upd2.exe] C:\WINDOWS\System32\WINdirect.e xe

        > O4 - HKCU\..\Run: [key] C:\WINDOWS\System32\sysxp.exe
        > O4 - HKCU\..\Run: [win_upd2.exe] C:\WINDOWS\System32\WINdirect.e xe
        > O4 - HKCU\..\Run: [bawindo] C:\WINDOWS\System32\bawindo.exe

        > O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa00 3c157a} -
        > C:\WINDOWS\web\related.htm
        > O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
        > 00aa003c157a} - C:\WINDOWS\web\related.htm

        > O23 - Service: MkS_Vir Monitor - Unknown - C:\Program
        > Files\MKS\Bin\mksmonsv.exe (file missing)
            • Gość: sara Re: Trj/Qhost.Q / help!!! IP: *.wroclaw.dialog.net.pl 02.02.05, 18:49
              Spośród wymienionych rejestrów udało mi się wykasować tylko ten:

              > O4 - HKLM\..\Run: [win_upd2.exe] C:\WINDOWS\System32\WINdirect.e xe

              Pozostałe szukam drugi dzien i nie mogę znaleźć. Szukałam w ten sposób, że
              uruchomiłam program regedit i przeglądałam całe drzewo, na piechotę :/ i
              poprzez eksport do pliku tekstowego i wyszukiwanie automatyczne. Nie wiem co
              dalej robić. Niektóre programy znalazłam w rejestrze w innej lokalizacji. Tych
              od n-ru 09 w ogole nie wiem gdzie szukać, bo nie ma ich w regedit.

              Jak się z tym uporać? Help!
                • Gość: sara Re: Trj/Qhost.Q / help!!! IP: *.wroclaw.dialog.net.pl 02.02.05, 22:05
                  aaaa, to takie proste! a ja się męczyłam...

                  jeszcze rzuć okiem na nowe loga i powiedz, czy teraz ok:


                  Logfile of HijackThis v1.99.0
                  Scan saved at 21:52:16, on 2005-02-02
                  Platform: Windows XP (WinNT 5.01.2600)
                  MSIE: Internet Explorer v6.00 (6.00.2600.0000)

                  Running processes:
                  C:\WINDOWS\System32\smss.exe
                  C:\WINDOWS\system32\winlogon.ex e
                  C:\WINDOWS\system32\services.ex e
                  C:\WINDOWS\system32\lsass.exe
                  C:\WINDOWS\system32\svchost.exe
                  C:\WINDOWS\System32\svchost.exe
                  C:\WINDOWS\system32\spoolsv.exe
                  C:\Program Files\AVPersonal\AVGUARD.EXE
                  C:\Program Files\AVPersonal\AVWUPSRV.EXE
                  C:\WINDOWS\Explorer.EXE
                  C:\Program Files\AVPersonal\AVGNT.EXE
                  D:\Siec\wirusy\HijackThis.exe

                  R0 - HKCU\Software\Microsoft\Interne t Explorer\Main,Start Page =
                  www.wp.pl/
                  R0 - HKCU\Software\Microsoft\Interne t Explorer\Toolbar,LinksFolderNam e = Łącza
                  O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D 6BE0B3} -
                  C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper .ocx
                  O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9 082467} -
                  C:\WINDOWS\System32\msdxm.ocx
                  O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
                  O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
                  Office\Office\OSA9.EXE
                  O4 - Global Startup: PsiWin 2.3 Connection Server.lnk = C:\Program
                  Files\Psion\PsiWin\Psconsv.exe
                  O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F 795683} -
                  C:\Program Files\Messenger\MSMSGS.EXE
                  O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
                  00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
                  O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
                  O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE 20BDF7} (MainControl Class) -
                  skaner.mks.com.pl/SkanerOnline.cab
                  O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Program
                  Files\AVPersonal\AVGUARD.EXE
                  O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Program
                  Files\AVPersonal\AVWUPSRV.EXE

                  Dzięęęęki! :-)))

                  Pozdr.


    • netsec Re: Trj/Qhost.Q / help!!! 06.02.05, 20:12
      Zaktualizuj GG " Jeśli otrzymamy wiadomość z numeru: 7021349 i ją odbierzemy,
      wówczas na komputerze zainstaluje się trojan Trojan.QHost." Wyłącz połączenia
      bezpośrednie w GG :)

      --
      Nadmiar zaufania jest głupotą, nadmiar nieufności nieszczęściem. Nie zniżajmy
      się do format C: ;) Może tu znajdziesz odpowiedź
      Wirusy Spyware CWS bynetsec

      Net
        • Gość: Ania Re: Trj/Qhost.Q / help!!! IP: *.kielce.sdi.tpnet.pl 23.02.05, 15:21
          Witaj Piecyku.
          Mam problem z STARTPAGE.16.BD
          Przeczytałam Twoje poprzednie podpowiedzi.
          Proszę podpowiedz co jest zbędne.
          Jeśli tak-wyśle informacje znalezione przez HijackThis v1.99.1
          Ania

          Logfile of HijackThis v1.99.1
          Scan saved at 14:39:50, on 05-02-23
          Platform: Windows XP (WinNT 5.01.2600)
          MSIE: Internet Explorer v6.00 (6.00.2600.0000)

          Running processes:
          C:\WINDOWS\System32\smss.exe
          C:\WINDOWS\system32\winlogon.exe
          C:\WINDOWS\system32\services.exe
          C:\WINDOWS\system32\lsass.exe
          C:\WINDOWS\system32\svchost.exe
          C:\WINDOWS\System32\svchost.exe
          C:\WINDOWS\system32\rundll32.exe
          C:\WINDOWS\system32\spoolsv.exe
          C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
          C:\WINDOWS\Explorer.EXE
          C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
          C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
          C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
          C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
          C:\Program Files\AVPersonal\AVWUPSRV.EXE
          C:\Program Files\Norton AntiVirus\navapsvc.exe
          C:\WINDOWS\System32\nvsvc32.exe
          C:\WINDOWS\System32\svchost.exe
          C:\WINDOWS\System32\MsPMSPSv.exe
          C:\Program Files\Internet Explorer\iexplore.exe
          C:\Program Files\Internet Explorer\IEXPLORE.EXE
          C:\Program Files\Internet Explorer\IEXPLORE.EXE
          C:\Program Files\Internet Explorer\IEXPLORE.EXE
          C:\Program Files\Internet Explorer\iexplore.exe
          C:\Program Files\Internet Explorer\iexplore.exe
          C:\Program Files\Internet Explorer\iexplore.exe
          C:\Program Files\Internet Explorer\iexplore.exe
          C:\Program Files\Internet Explorer\iexplore.exe
          C:\Program Files\Internet Explorer\iexplore.exe
          C:\Program Files\MSN\MSNCoreFiles\msn6.exe
          C:\Program Files\Internet Explorer\iexplore.exe
          C:\Program Files\Internet Explorer\iexplore.exe
          C:\Program Files\Internet Explorer\iexplore.exe
          C:\Program Files\Internet Explorer\iexplore.exe
          C:\Documents and Settings\A&K\Pulpit\HijackThis.exe

          R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
          res://C:\WINDOWS\TEMP\se.dll/sp.html
          R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
          R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
          res://C:\WINDOWS\TEMP\se.dll/sp.html
          R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
          R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
          about:blank
          R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
          about:blank
          R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
          red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
          R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
          R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
          R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
          R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no
          file)
          O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
          O1 - Hosts: 127.0.0.3 x.full-tgp.net
          O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
          O1 - Hosts: 127.0.0.3 autoescrowpay.com
          O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
          O1 - Hosts: 127.0.0.3 www.awmdabest.com
          O1 - Hosts: 127.0.0.3 www.sexfiles.nu
          O1 - Hosts: 127.0.0.3 awmdabest.com
          O1 - Hosts: 127.0.0.3 sexfiles.nu
          O1 - Hosts: 127.0.0.3 allforadult.com
          O1 - Hosts: 127.0.0.3 www.allforadult.com
          O1 - Hosts: 127.0.0.3 www.iframe.biz
          O1 - Hosts: 127.0.0.3 iframe.biz
          O1 - Hosts: 127.0.0.3 www.newiframe.biz
          O1 - Hosts: 127.0.0.3 newiframe.biz
          O1 - Hosts: 127.0.0.3 www.vesbiz.biz
          O1 - Hosts: 127.0.0.3 vesbiz.biz
          O1 - Hosts: 127.0.0.3 www.pi..to.biz
          O1 - Hosts: 127.0.0.3 pi..to.biz
          O1 - Hosts: 127.0.0.3 www.aaasexypics.com
          O1 - Hosts: 127.0.0.3 aaasexypics.com
          O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 auto.search.msn.com
          O1 - Hosts: 69.20.16.183 search.netscape.com
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O2 - BHO: (no name) - {3F59E0D3-AE56-4C9B-8BB6-9B5AD1736D22} -
          C:\WINDOWS\System32\afek.dll
          O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - (no file)
          O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
          C:\Program Files\Norton AntiVirus\NavShExt.dll
          O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
          C:\WINDOWS\System32\msdxm.ocx
          O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
          O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
          \NvCpl.dll,NvStartup
          O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
          O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
          O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
          O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
          O4 - HKLM\..\Run: [MSConfig]
          C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
          O8 - Extra context menu item: &Add animation to IncrediMail Style Box -
          C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
          O8 - Extra context menu item: Download with GetRight - C:\Program
          Files\GetRight\GRdownload.htm
          O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
          res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
          O8 - Extra context menu item: Open with GetRight Browser - C:\Program
          Files\GetRight\GRbrowse.htm
          O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
          C:\WINDOWS\web\related.htm (file missing)
          O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
          00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
          O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
          O15 - Trusted Zone: *.crazywinnings.com
          O15 - Trusted Zone: *.iframedollars.biz
          O15 - Trusted Zone: *.skoobidoo.com
          O15 - Trusted Zone: *.windupdates.com
          O15 - Trusted Zone: *.crazywinnings.com (HKLM)
          O15 - Trusted Zone: *.iframedollars.biz (HKLM)
          O15 - Trusted Zone: *.skoobidoo.com (HKLM)
          O15 - Trusted Zone: *.windupdates.com (HKLM)
          O15 - Trusted IP range: 69.50.161.82
          O15 - Trusted IP range: 69.50.161.82 (HKLM)
          O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet
          Zone
          O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet
          Zone
          O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet
          Zone (HKLM)
          O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet
          Zone (HKLM)
          O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
          v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106343151137
          O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) -
          www2.incredimail.com/contents/setup/downloader/imloader.cab
          O17 - HKLM\System\CCS\Services\Tcpip\..\{94B909D4-3FC2-4513-B7EB-71FFCCEA70E6}:
          NameServer = 194.204.159.1,194.204.152.34,213.191.132.126
          O18 - Filter: text/html - {5EC53D3A-3121-4E74-8F4D-73C1B14E5B46} -
      • netsec Try it :) 18.02.05, 20:51
        Ściągnij narzędzie do doraźnego oczyszczenia systemu:
        80.53.91.142/netsec/tools/sysclean.exe
        Wyłącz przywracanie systemu:
        support.microsoft.com/default.aspx?scid=kb;pl;310405
        Uruchom komputer w trybie awaryjnym:
        support.microsoft.com/default.aspx?scid=KB;PL;315222
        Uwaga! Przy starcie do awaryjnego dostaniesz pytanie o wybór konta. NIE wybieraj
        konta Administratora tylko swoje własne imienne, bo na tym profilu jest syf.Po
        uruchomieniu komputera w trybie awaryjnym, nie otwieraj Internet Explorera.

        Uruchom ściągnięty wcześniej plik sysclean.exe i postępuj zgodnie z napisami.

        Po zakończeniu skanowania uruchom komputer ponownie w normalny sposób i wklej
        nowy log.

        --
        Nadmiar zaufania jest głupotą, nadmiar nieufności nieszczęściem. Nie zniżajmy
        się do format C: ;) Może tu znajdziesz odpowiedź
        Wirusy Spyware CWS bynetsec

        Net
      • Gość: Aneta Piecyku gazowy i netsec................... IP: *.dsl.emhril.ameritech.net 20.02.05, 04:43
        Chlopaki,


        Jestescie wspaniali,wielkie dzieki za pomoc.Rady niestety nie przeczytalam,bo
        ten smierdziel nawet mi potem nie chcial netu otworzyc ani przez IE,ani przez
        Mozille.W efekcie skurczybyka potraktowalam programem antywirusowym Spy
        Sweeper-polecam i na razie ok.Odinstalowalam IE,pozostala tylko Mozilla.
        Jeszcze raz wielkie dzieki.Aneta

        Jesli macie pytania,moje gg 3702548
        • Gość: Ania Re: Piecyku gazowy i netsec................... IP: *.kielce.sdi.tpnet.pl 23.02.05, 15:01
          Witaj Piecyku gazowy.
          Także mam problem z startpage.16.BD
          Zerknij proszę w te dane i podpowiedz co jest zbędne / do usunięcia /.
          Z góry wielkie dzięki.
          Ania

          Logfile of HijackThis v1.99.1
          Scan saved at 14:39:50, on 05-02-23
          Platform: Windows XP (WinNT 5.01.2600)
          MSIE: Internet Explorer v6.00 (6.00.2600.0000)

          Running processes:
          C:\WINDOWS\System32\smss.exe
          C:\WINDOWS\system32\winlogon.exe
          C:\WINDOWS\system32\services.exe
          C:\WINDOWS\system32\lsass.exe
          C:\WINDOWS\system32\svchost.exe
          C:\WINDOWS\System32\svchost.exe
          C:\WINDOWS\system32\rundll32.exe
          C:\WINDOWS\system32\spoolsv.exe
          C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
          C:\WINDOWS\Explorer.EXE
          C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
          C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
          C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
          C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
          C:\Program Files\AVPersonal\AVWUPSRV.EXE
          C:\Program Files\Norton AntiVirus\navapsvc.exe
          C:\WINDOWS\System32\nvsvc32.exe
          C:\WINDOWS\System32\svchost.exe
          C:\WINDOWS\System32\MsPMSPSv.exe
          C:\Program Files\Internet Explorer\iexplore.exe
          C:\Program Files\Internet Explorer\IEXPLORE.EXE
          C:\Program Files\Internet Explorer\IEXPLORE.EXE
          C:\Program Files\Internet Explorer\IEXPLORE.EXE
          C:\Program Files\Internet Explorer\iexplore.exe
          C:\Program Files\Internet Explorer\iexplore.exe
          C:\Program Files\Internet Explorer\iexplore.exe
          C:\Program Files\Internet Explorer\iexplore.exe
          C:\Program Files\Internet Explorer\iexplore.exe
          C:\Program Files\Internet Explorer\iexplore.exe
          C:\Program Files\MSN\MSNCoreFiles\msn6.exe
          C:\Program Files\Internet Explorer\iexplore.exe
          C:\Program Files\Internet Explorer\iexplore.exe
          C:\Program Files\Internet Explorer\iexplore.exe
          C:\Program Files\Internet Explorer\iexplore.exe
          C:\Documents and Settings\A&K\Pulpit\HijackThis.exe

          R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
          res://C:\WINDOWS\TEMP\se.dll/sp.html
          R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
          R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
          res://C:\WINDOWS\TEMP\se.dll/sp.html
          R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
          R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
          about:blank
          R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
          about:blank
          R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
          red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
          R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
          R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
          R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
          R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no
          file)
          O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
          O1 - Hosts: 127.0.0.3 x.full-tgp.net
          O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
          O1 - Hosts: 127.0.0.3 autoescrowpay.com
          O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
          O1 - Hosts: 127.0.0.3 www.awmdabest.com
          O1 - Hosts: 127.0.0.3 www.sexfiles.nu
          O1 - Hosts: 127.0.0.3 awmdabest.com
          O1 - Hosts: 127.0.0.3 sexfiles.nu
          O1 - Hosts: 127.0.0.3 allforadult.com
          O1 - Hosts: 127.0.0.3 www.allforadult.com
          O1 - Hosts: 127.0.0.3 www.iframe.biz
          O1 - Hosts: 127.0.0.3 iframe.biz
          O1 - Hosts: 127.0.0.3 www.newiframe.biz
          O1 - Hosts: 127.0.0.3 newiframe.biz
          O1 - Hosts: 127.0.0.3 www.vesbiz.biz
          O1 - Hosts: 127.0.0.3 vesbiz.biz
          O1 - Hosts: 127.0.0.3 www.pi..to.biz
          O1 - Hosts: 127.0.0.3 pi..to.biz
          O1 - Hosts: 127.0.0.3 www.aaasexypics.com
          O1 - Hosts: 127.0.0.3 aaasexypics.com
          O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 auto.search.msn.com
          O1 - Hosts: 69.20.16.183 search.netscape.com
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O1 - Hosts: 69.20.16.183 ieautosearch
          O2 - BHO: (no name) - {3F59E0D3-AE56-4C9B-8BB6-9B5AD1736D22} -
          C:\WINDOWS\System32\afek.dll
          O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - (no file)
          O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
          C:\Program Files\Norton AntiVirus\NavShExt.dll
          O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
          C:\WINDOWS\System32\msdxm.ocx
          O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
          O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
          \NvCpl.dll,NvStartup
          O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
          O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
          O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
          O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
          O4 - HKLM\..\Run: [MSConfig]
          C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
          O8 - Extra context menu item: &Add animation to IncrediMail Style Box -
          C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
          O8 - Extra context menu item: Download with GetRight - C:\Program
          Files\GetRight\GRdownload.htm
          O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
          res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
          O8 - Extra context menu item: Open with GetRight Browser - C:\Program
          Files\GetRight\GRbrowse.htm
          O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
          C:\WINDOWS\web\related.htm (file missing)
          O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
          00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
          O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
          O15 - Trusted Zone: *.crazywinnings.com
          O15 - Trusted Zone: *.iframedollars.biz
          O15 - Trusted Zone: *.skoobidoo.com
          O15 - Trusted Zone: *.windupdates.com
          O15 - Trusted Zone: *.crazywinnings.com (HKLM)
          O15 - Trusted Zone: *.iframedollars.biz (HKLM)
          O15 - Trusted Zone: *.skoobidoo.com (HKLM)
          O15 - Trusted Zone: *.windupdates.com (HKLM)
          O15 - Trusted IP range: 69.50.161.82
          O15 - Trusted IP range: 69.50.161.82 (HKLM)
          O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet
          Zone
          O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet
          Zone
          O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet
          Zone (HKLM)
          O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet
          Zone (HKLM)
          O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
          v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106343151137
          O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) -
          www2.incredimail.com/contents/setup/downloader/imloader.cab
          O17 - HKLM\System\CCS\Services\Tcpip\..\{94B909D4-3FC2-4513-B7EB-71FFCCEA70E6}:
          NameServer = 194.204.159.1,194.204.152.34,213.191.132.126
          O18 - Filter: text/html - {5EC53D3A-3121-4E74-8F4D-73C1B14E5B46} -
          C:\WINDOWS\System32\afek.dll
          O18
          • Gość: piecyk gazowy Re: Piecyku gazowy i netsec................... IP: *.tpnet.pl / *.tpnet.pl 23.02.05, 21:11
            Cały log nie wszedł, ale możesz usunąć:

            R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
            res://C:\WINDOWS\TEMP\se.dll/sp.html
            R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
            R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
            res://C:\WINDOWS\TEMP\se.dll/sp.html
            R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
            R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
            about:blank
            R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
            about:blank

            R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
            R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

            R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no
            file)
            O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
            O1 - Hosts: 127.0.0.3 x.full-tgp.net
            O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
            O1 - Hosts: 127.0.0.3 autoescrowpay.com
            O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
            O1 - Hosts: 127.0.0.3 www.awmdabest.com
            O1 - Hosts: 127.0.0.3 www.sexfiles.nu
            O1 - Hosts: 127.0.0.3 awmdabest.com
            O1 - Hosts: 127.0.0.3 sexfiles.nu
            O1 - Hosts: 127.0.0.3 allforadult.com
            O1 - Hosts: 127.0.0.3 www.allforadult.com
            O1 - Hosts: 127.0.0.3 www.iframe.biz
            O1 - Hosts: 127.0.0.3 iframe.biz
            O1 - Hosts: 127.0.0.3 www.newiframe.biz
            O1 - Hosts: 127.0.0.3 newiframe.biz
            O1 - Hosts: 127.0.0.3 www.vesbiz.biz
            O1 - Hosts: 127.0.0.3 vesbiz.biz
            O1 - Hosts: 127.0.0.3 www.pi..to.biz
            O1 - Hosts: 127.0.0.3 pi..to.biz
            O1 - Hosts: 127.0.0.3 www.aaasexypics.com
            O1 - Hosts: 127.0.0.3 aaasexypics.com
            O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
            O1 - Hosts: 69.20.16.183 ieautosearch
            O1 - Hosts: 69.20.16.183 ieautosearch
            O1 - Hosts: 69.20.16.183 ieautosearch
            O1 - Hosts: 69.20.16.183 ieautosearch
            O1 - Hosts: 69.20.16.183 ieautosearch
            O1 - Hosts: 69.20.16.183 ieautosearch
            O1 - Hosts: 69.20.16.183 ieautosearch
            O1 - Hosts: 69.20.16.183 ieautosearch
            O1 - Hosts: 69.20.16.183 ieautosearch
            O1 - Hosts: 69.20.16.183 ieautosearch
            O1 - Hosts: 69.20.16.183 ieautosearch
            O1 - Hosts: 69.20.16.183 ieautosearch
            O1 - Hosts: 69.20.16.183 ieautosearch
            O1 - Hosts: 69.20.16.183 ieautosearch
            O1 - Hosts: 69.20.16.183 ieautosearch
            O1 - Hosts: 69.20.16.183 ieautosearch
            O1 - Hosts: 69.20.16.183 ieautosearch
            O1 - Hosts: 69.20.16.183 ieautosearch
            O1 - Hosts: 69.20.16.183 ieautosearch
            O1 - Hosts: 69.20.16.183 auto.search.msn.com
            O1 - Hosts: 69.20.16.183 search.netscape.com
            O1 - Hosts: 69.20.16.183 ieautosearch
            O1 - Hosts: 69.20.16.183 ieautosearch
            O1 - Hosts: 69.20.16.183 ieautosearch
            O2 - BHO: (no name) - {3F59E0D3-AE56-4C9B-8BB6-9B5AD1736D22} -
            C:\WINDOWS\System32\afek.dll
            O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - (no file)

            O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
            C:\WINDOWS\web\related.htm (file missing)
            O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
            00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)

            O15 - Trusted Zone: *.crazywinnings.com
            O15 - Trusted Zone: *.iframedollars.biz
            O15 - Trusted Zone: *.skoobidoo.com
            O15 - Trusted Zone: *.windupdates.com
            O15 - Trusted Zone: *.crazywinnings.com (HKLM)
            O15 - Trusted Zone: *.iframedollars.biz (HKLM)
            O15 - Trusted Zone: *.skoobidoo.com (HKLM)
            O15 - Trusted Zone: *.windupdates.com (HKLM)
            O15 - Trusted IP range: 69.50.161.82
            O15 - Trusted IP range: 69.50.161.82 (HKLM)
            O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet
            Zone
            O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet
            Zone
            O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet
            Zone (HKLM)
            O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet
            Zone (HKLM)

            O18 - Filter: text/html - {5EC53D3A-3121-4E74-8F4D-73C1B14E5B46} -
            C:\WINDOWS\System32\afek.dll

            Wygeneruj nowego loga i wklej (pilnuj, żeby był cały).
            • Gość: Ania Re: Piecyku gazowy i netsec................... IP: *.kielce.sdi.tpnet.pl 24.02.05, 08:01
              Faktycznie nie wszystko się zmieściło.
              Spróbuje jeszcze raz.
              Logfile of HijackThis v1.99.1
              Scan saved at 07:55:08, on 05-02-24
              Platform: Windows XP (WinNT 5.01.2600)
              MSIE: Internet Explorer v6.00 (6.00.2600.0000)

              Running processes:
              C:\WINDOWS\System32\smss.exe
              C:\WINDOWS\system32\winlogon.exe
              C:\WINDOWS\system32\services.exe
              C:\WINDOWS\system32\lsass.exe
              C:\WINDOWS\system32\svchost.exe
              C:\WINDOWS\System32\svchost.exe
              C:\WINDOWS\system32\rundll32.exe
              C:\WINDOWS\system32\spoolsv.exe
              C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
              C:\WINDOWS\Explorer.EXE
              C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
              C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
              C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
              C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
              C:\Program Files\AVPersonal\AVWUPSRV.EXE
              C:\Program Files\Norton AntiVirus\navapsvc.exe
              C:\WINDOWS\System32\nvsvc32.exe
              C:\WINDOWS\System32\svchost.exe
              C:\WINDOWS\System32\MsPMSPSv.exe
              C:\Program Files\MSN\MSNCoreFiles\msn6.exe
              C:\WINDOWS\System32\wuauclt.exe
              C:\Documents and Settings\A&K\Pulpit\programy\HijackThis.exe

              R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
              www.google.pl/
              O1 - Hosts: 69.20.16.183 auto.search.msn.com
              O1 - Hosts: 69.20.16.183 search.netscape.com
              O1 - Hosts: 69.20.16.183 ieautosearch
              O1 - Hosts: 69.20.16.183 ieautosearch
              O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
              C:\Program Files\Norton AntiVirus\NavShExt.dll
              O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
              C:\WINDOWS\System32\msdxm.ocx
              O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
              O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
              O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
              O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
              O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
              O8 - Extra context menu item: &Add animation to IncrediMail Style Box -
              C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
              O8 - Extra context menu item: Download with GetRight - C:\Program
              Files\GetRight\GRdownload.htm
              O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
              res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
              O8 - Extra context menu item: Open with GetRight Browser - C:\Program
              Files\GetRight\GRbrowse.htm
              O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
              O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
              v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106343151137
              O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) -
              www2.incredimail.com/contents/setup/downloader/imloader.cab
              O17 - HKLM\System\CCS\Services\Tcpip\..\{94B909D4-3FC2-4513-B7EB-71FFCCEA70E6}:
              NameServer = 194.204.159.1,194.204.152.34,213.191.132.126
              O20 - Winlogon Notify: Uninstall - C:\WINDOWS\system32\p66slgj716o.dll
              O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. -
              C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
              O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1
              \Grisoft\AVGFRE~1\avgupsvc.exe
              O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany -
              C:\Program Files\AVPersonal\AVWUPSRV.EXE
              O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
              C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
              O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec
              Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
              O23 - Service: Usługa Auto-Protect w programie Norton AntiVirus (navapsvc) -
              Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
              O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation -
              C:\WINDOWS\System32\nvsvc32.exe
              O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
              C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

              Teraz jest wszystko :)
              • Gość: piecyk gazowy Re: Piecyku gazowy i netsec................... IP: *.tpnet.pl / *.tpnet.pl 24.02.05, 08:18
                Usuń:

                > O1 - Hosts: 69.20.16.183 auto.search.msn.com
                > O1 - Hosts: 69.20.16.183 search.netscape.com
                > O1 - Hosts: 69.20.16.183 ieautosearch
                > O1 - Hosts: 69.20.16.183 ieautosearch

                > O20 - Winlogon Notify: Uninstall - C:\WINDOWS\system32\p66slgj716o.dll


                Potem przeskanuj system Ad-Aware’em:
                ftp://ftp.download.com/pub/win95/utilities/aawsepersonal.exe
                i wklej nowego loga.

                Może być problem z tym ieautosearch...
                    • Gość: Ania Re: Piecyku gazowy i netsec................... IP: *.kielce.sdi.tpnet.pl 24.02.05, 09:22
                      Teraz rozumiem :)
                      Logfile of HijackThis v1.99.1
                      Scan saved at 09:20:11, on 05-02-24
                      Platform: Windows XP (WinNT 5.01.2600)
                      MSIE: Internet Explorer v6.00 (6.00.2600.0000)

                      Running processes:
                      C:\WINDOWS\System32\smss.exe
                      C:\WINDOWS\system32\winlogon.exe
                      C:\WINDOWS\system32\services.exe
                      C:\WINDOWS\system32\lsass.exe
                      C:\WINDOWS\system32\svchost.exe
                      C:\WINDOWS\System32\svchost.exe
                      C:\WINDOWS\system32\rundll32.exe
                      C:\WINDOWS\system32\spoolsv.exe
                      C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
                      C:\WINDOWS\Explorer.EXE
                      C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
                      C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
                      C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
                      C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
                      C:\Program Files\AVPersonal\AVWUPSRV.EXE
                      C:\Program Files\Norton AntiVirus\navapsvc.exe
                      C:\WINDOWS\System32\nvsvc32.exe
                      C:\WINDOWS\System32\svchost.exe
                      C:\WINDOWS\System32\MsPMSPSv.exe
                      C:\Program Files\MSN\MSNCoreFiles\msn6.exe
                      C:\Documents and Settings\A&K\Pulpit\programy\HijackThis.exe

                      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
                      www.google.pl/
                      O1 - Hosts: 69.20.16.183 auto.search.msn.com
                      O1 - Hosts: 69.20.16.183 search.netscape.com
                      O1 - Hosts: 69.20.16.183 ieautosearch
                      O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
                      C:\Program Files\Norton AntiVirus\NavShExt.dll
                      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
                      C:\WINDOWS\System32\msdxm.ocx
                      O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
                      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
                      O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
                      O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
                      O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
                      O8 - Extra context menu item: &Add animation to IncrediMail Style Box -
                      C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
                      O8 - Extra context menu item: Download with GetRight - C:\Program
                      Files\GetRight\GRdownload.htm
                      O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
                      res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
                      O8 - Extra context menu item: Open with GetRight Browser - C:\Program
                      Files\GetRight\GRbrowse.htm
                      O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
                      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
                      v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106343151137
                      O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) -
                      www2.incredimail.com/contents/setup/downloader/imloader.cab
                      O17 - HKLM\System\CCS\Services\Tcpip\..\{94B909D4-3FC2-4513-B7EB-71FFCCEA70E6}:
                      NameServer = 194.204.159.1,194.204.152.34,213.191.132.126
                      O20 - Winlogon Notify: Extensions - C:\WINDOWS\system32\t0r8la9u1d.dll
                      O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. -
                      C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
                      O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1
                      \Grisoft\AVGFRE~1\avgupsvc.exe
                      O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany -
                      C:\Program Files\AVPersonal\AVWUPSRV.EXE
                      O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
                      C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
                      O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec
                      Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
                      O23 - Service: Usługa Auto-Protect w programie Norton AntiVirus (navapsvc) -
                      Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
                      O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation -
                      C:\WINDOWS\System32\nvsvc32.exe
                      O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
                      C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

                      • Gość: Tomek Re: Piecyku gazowy i netsec................... IP: *.dip.t-dialin.net 28.02.05, 20:31
                        Prosilbym o pomoc.
                        W momencie,kiedy kiedy wchodze do Start Centrum T-Online ( provider ), aby
                        polaczyc sie z netem i jestem ok 4 - 5 minut w necie,asystent lacza informuje
                        mnie,abym wybral bezposrednie lacze, gdyz Lacze IE ( fakt, ja z niego nie
                        korzystam, i COS mnie probuje z nim laczyc, dlatego moim zdaniem jest to jakis
                        dealer, etc, etc ) nie jest jemu znane.
                        Robie to blyskawicznie,tj stawiam w ustawieniach natychmiast ''ptaszka'', ale
                        sytuacja powtarza sie z czestoscia co 4-6 minut.

                        A ) ten problem pojawil mi sie przed dwoma dniami, kiedy upadetowalem T-Online.

                        B ) zrobilem Nortonem Antywirusem skanowanie, gdyz wiedzialem, ze mam jakis shit

                        C) i tak nap salm w C:/ temp nie moge usunac, ale np sahagent w C / temp

                        D) mam takze m.in uinstall.dealhelper, ktorego z Software usunalem,ale....
                        on teraz tam jest o imieniu wlasnie salm,i kiedy chce usunac, to informowany
                        jestem, ze moge to zrobic jak bede w internecie ( ale ja w to nie wierze )

                        E) jest takze jeszcze SEARCH 180,ktorego takze Norton nie zlikwidowal

                        a inne dodatkowe to np
                        dhsvr.exe
                        wzgbazan.exe
                        Isp.dll
                        dhbrwsr.exe

                        Nie wyliczam wszystkiego, gdyz oczywiscie nie jestem na swoim laczu i compie,
                        ze wzgledu na bezpieczenstwo, i wypisywac tych 27 smieci nie mam mozliwosci.

                        Czy moglbym dostac od Was jakies pomocne informacje, gdyz nie wiem co robic.
                          • Gość: Tomek i Dzeki Re: Piecyku gazowy i netsec................... IP: *.dip.t-dialin.net 02.03.05, 18:40
                            Piekne Dzieki.Sprobuje to jakos zrobic.
                            Jeszcze raz dzieki za blysk odpowiedz.
                            Ja dzisiaj dopiero ponownie ( nie u siebie ) jestem w "Gazeciee".
                            Juz w niedziele dostalem od kumpla wlasnie ten programik + jeszcze cos.
                            najpierw Nortonem znalazlem 25 smieci, i te scanujac Hijack This wywalilem
                            metoda selekcji, to co bylo pewne,ale chyba salm i wzgbazan, reaktywuje sie.
                            Zlokalizowalem takze WinAdServ ( dostep zablokowany ) i w Software ( 180
                            search...chyba kompatibil z tym takze nie do usuniecia salm ) takze nie do
                            usuniecia.
                            Ok bede probowal wrzucic ten raport.
                            Pozdro
                                • Gość: piecyk gazowy Re: Piecyku gazowy i netsec................... IP: *.tpnet.pl / *.tpnet.pl 03.03.05, 19:02
                                  Możesz spróbować sam powalczyć HijackThis. Usuń wszystkie nieznane Ci wpisy z
                                  sekcji O2 (BHO), O4 oraz O23, wpisy "hosts" (zostaw sterowniki znanych
                                  urządzeń - modemu, myszki itp.).

                                  Możesz próbować więcej, tym bardziej, że w HT jest opcja Backup. Nie wyrzucaj
                                  tylko adresów IP z sekcji O17 (jeśli są).

                                  Jak usuniesz większość wpisów, być może uda Ci się połączyć z Internetem. Jeśli
                                  tak, wklejaj tutaj loga i będziemy dalej walczyć. ;-)
                                        • Gość: piecyk gazowy Re: Piecyku gazowy i netsec................... IP: *.tpnet.pl / *.tpnet.pl 05.03.05, 19:21
                                          spywareinfo.globalservers.com/~merijn/files/HijackThis.exe - ściągasz i
                                          zapisujesz np. na pulpicie.

                                          Uruchamiasz, wybierasz "Do a system scan and save a logfile", zapisujesz raport
                                          w pliku hijackthis.log (też może być na pulpicie), otwierasz loga (jeśli sam
                                          się nie otworzy), zaznaczasz jego zawartość myszką, kopiujesz (wciskasz Ctrl +
                                          + C), wchodzisz na forum i wklejasz klawiaszami Ctrl + V.
                                          • Gość: Marzena Re: Piecyku gazowy i netsec................... IP: *.neoplus.adsl.tpnet.pl 05.03.05, 20:05
                                            Logfile of HijackThis v1.99.1
                                            Scan saved at 20:02:39, on 2005-03-05
                                            Platform: Windows XP SP1 (WinNT 5.01.2600)
                                            MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

                                            Running processes:
                                            C:\WINDOWS\System32\smss.exe
                                            C:\WINDOWS\system32\winlogon.exe
                                            C:\WINDOWS\system32\services.exe
                                            C:\WINDOWS\system32\lsass.exe
                                            C:\WINDOWS\system32\svchost.exe
                                            C:\WINDOWS\System32\svchost.exe
                                            C:\WINDOWS\system32\spoolsv.exe
                                            C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
                                            C:\Programme\Norton Internet Security\NISUM.EXE
                                            C:\Programme\Norton Internet Security\ccPxySvc.exe
                                            C:\Programme\Norton AntiVirus\navapsvc.exe
                                            C:\WINDOWS\Explorer.EXE
                                            C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
                                            C:\PROGRA~1\POP-UP~1\dpps2.exe
                                            C:\WINDOWS\System32\RunDll32.exe
                                            C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
                                            C:\Programme\QuickTime\qttask.exe
                                            C:\PROGRA~1\NEOSTR~1\CnxMon.exe
                                            C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe
                                            C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
                                            C:\WINDOWS\System32\ctfmon.exe
                                            C:\Programme\SpywareGuard\sgmain.exe
                                            C:\Programme\SpywareGuard\sgbhp.exe
                                            C:\Programme\Neostrada TP\NeostradaTP.exe
                                            C:\Programme\Neostrada TP\ComComp.exe
                                            C:\Programme\Neostrada TP\Watch.exe
                                            C:\Programme\Gadu-Gadu\gg.exe
                                            C:\Dokumente und Einstellungen\Admin\Eigene Dateien\HijackThis.exe
                                            C:\Programme\Opera\Opera.exe

                                            R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = szukaj.wp.pl
                                            R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.neostrada.pl
                                            R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = www.google.de/
                                            R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
                                            R3 - URLSearchHook: URL Search Hook - {AA460422-2CEF-400f-AA05-F63368E04706} - C:\WINDOWS\System32\sh.dll
                                            R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
                                            O1 - Hosts: 64.91.255.87 www.dcsresearch.com
                                            O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
                                            O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\SpywareGuard\dlprotect.dll
                                            O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
                                            O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
                                            O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
                                            O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
                                            O3 - Toolbar: Ecofil - Papierschnur.com Toolbar (c) 2004 by LJP - {D6223CBC-A263-4CB1-B35E-1AE40FEF3B3B} - C:\WINDOWS\System32\ietoolbar.dll
                                            O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
                                            O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
                                            O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
                                            O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\PROGRA~1\POP-UP~1\dpps2.exe"
                                            O4 - HKLM\..\Run: [HGTXPEI] C:\WINDOWS\System32\FirstReboot.exe
                                            O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint
                                            O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
                                            O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
                                            O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
                                            O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe
                                            O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
                                            O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
                                            O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
                                            O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
                                            O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot\TeaTimer.exe
                                            O4 - HKCU\..\Run: [BirthdayRemember6] "C:\Programme\Geburtstage\BirthdayRemember.exe" "autostart"
                                            O4 - HKCU\..\Run: [SpyFirewall] C:\Programme\Adware & Spyware Firewall\SpyFirewall.exe
                                            O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Programme\Gadu-Gadu\gg.exe" /tray
                                            O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
                                            O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
                                            O9 - Extra button: (no name) - {26835CE1-D5EC-11d5-AF6E-00C06D0086BF} - (no file)
                                            O9 - Extra button: (no name) - {6A0426D1-0FF2-49a0-ABC2-05B67826C727} - (no file)
                                            O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
                                            O9 - Extra button: Kill IE - {B73455AE-D3DE-492a-8FE0-0EA053B95278} - IEkiller.bat (file missing)
                                            O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - www.mt-download.com/MediaTicketsInstaller.cab
                                            O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} - ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
                                            O17 - HKLM\System\CCS\Services\Tcpip\..\{08315B10-D3EA-4E07-8E78-71ACD1F4FDC6}: NameServer = 194.204.152.34 217.98.63.164
                                            O17 - HKLM\System\CCS\Services\Tcpip\..\{11719527-022A-42AF-8809-F8AE4BAED89A}: NameServer = 192.168.2.1
                                            O17 - HKLM\System\CS1\Services\Tcpip\..\{08315B10-D3EA-4E07-8E78-71ACD1F4FDC6}: NameServer = 194.204.152.34 217.98.63.164
                                            O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
                                            O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
                                            O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPxySvc.exe
                                            O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
                                            O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
                                            O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
                                            O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
                                            O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\SpeedManager\tsmsvc.exe

                                            chyba dobrze ,sama nie wiem jak to zrobilam
                                            • Gość: piecyk gazowy Re: Piecyku gazowy i netsec................... IP: *.tpnet.pl / *.tpnet.pl 05.03.05, 21:01
                                              Niemiecki Windows? :-]

                                              Włącz zaporę: www.microsoft.com/poland/security/articles/use_icf.mspx


                                              Teraz uruchom HijackThis, wybierz „Do a system scan only”, zaznacz poniższe
                                              pozycje i wciśnij Fix Checked.

                                              > R3 - URLSearchHook: URL Search Hook - {AA460422-2CEF-400f-AA05-F63368E04706} -

                                              > C:\WINDOWS\System32\sh.dll

                                              > O1 - Hosts: 64.91.255.87 www.dcsresearch.com

                                              > O3 - Toolbar: Ecofil - Papierschnur.com Toolbar (c) 2004 by LJP - {D6223CBC-
                                              A26
                                              > 3-4CB1-B35E-1AE40FEF3B3B} - C:\WINDOWS\System32\ietoolbar.dll

                                              > O4 - HKCU\..\Run: [SpyFirewall] C:\Programme\Adware & Spyware
                                              Firewall\SpyFirew
                                              > all.exe

                                              > O9 - Extra button: (no name) - {26835CE1-D5EC-11d5-AF6E-00C06D0086BF} - (no
                                              fil
                                              > e)
                                              > O9 - Extra button: (no name) - {6A0426D1-0FF2-49a0-ABC2-05B67826C727} - (no
                                              fil
                                              > e)

                                              > O9 - Extra button: Kill IE - {B73455AE-D3DE-492a-8FE0-0EA053B95278} -
                                              IEkiller.
                                              > bat (file missing)
                                              > O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller
                                              Control) - www.mt-download.com/MediaTicketsInstaller.cab

                                              > chyba dobrze ,sama nie wiem jak to zrobilam

                                              Dobrze, dobrze! Jestem z Ciebie dumny! ;-)

                                              Nie jest źle, prawie czysto. Zrób jw. i wklej nowego loga.
                                              • Gość: Marzena Re: Piecyku gazowy i netsec................... IP: *.neoplus.adsl.tpnet.pl 05.03.05, 23:33

                                                Scan saved at 23:34:00, on 2005-03-05
                                                Platform: Windows XP SP1 (WinNT 5.01.2600)
                                                MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

                                                Running processes:
                                                C:\WINDOWS\System32\smss.exe
                                                C:\WINDOWS\system32\winlogon.exe
                                                C:\WINDOWS\system32\services.exe
                                                C:\WINDOWS\system32\lsass.exe
                                                C:\WINDOWS\system32\svchost.exe
                                                C:\WINDOWS\System32\svchost.exe
                                                C:\WINDOWS\system32\spoolsv.exe
                                                C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
                                                C:\Programme\Norton Internet Security\NISUM.EXE
                                                C:\Programme\Norton Internet Security\ccPxySvc.exe
                                                C:\Programme\Norton AntiVirus\navapsvc.exe
                                                C:\WINDOWS\Explorer.EXE
                                                C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
                                                C:\PROGRA~1\POP-UP~1\dpps2.exe
                                                C:\WINDOWS\System32\RunDll32.exe
                                                C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
                                                C:\Programme\QuickTime\qttask.exe
                                                C:\PROGRA~1\NEOSTR~1\CnxMon.exe
                                                C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe
                                                C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
                                                C:\WINDOWS\System32\ctfmon.exe
                                                C:\Programme\SpywareGuard\sgmain.exe
                                                C:\Programme\SpywareGuard\sgbhp.exe
                                                C:\Programme\Neostrada TP\NeostradaTP.exe
                                                C:\Programme\Neostrada TP\ComComp.exe
                                                C:\Programme\Neostrada TP\Watch.exe
                                                C:\Programme\Gadu-Gadu\gg.exe
                                                C:\Programme\Opera\Opera.exe
                                                C:\WINDOWS\system32\NOTEPAD.EXE
                                                C:\Dokumente und Einstellungen\Admin\Eigene Dateien\HijackThis.exe

                                                R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = szukaj.wp.pl
                                                R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.neostrada.pl
                                                R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = www.google.de/
                                                R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
                                                R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
                                                O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
                                                O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\SpywareGuard\dlprotect.dll
                                                O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
                                                O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
                                                O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
                                                O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
                                                O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
                                                O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
                                                O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
                                                O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\PROGRA~1\POP-UP~1\dpps2.exe"
                                                O4 - HKLM\..\Run: [HGTXPEI] C:\WINDOWS\System32\FirstReboot.exe
                                                O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint
                                                O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
                                                O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
                                                O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
                                                O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe
                                                O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
                                                O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
                                                O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
                                                O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
                                                O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot\TeaTimer.exe
                                                O4 - HKCU\..\Run: [BirthdayRemember6] "C:\Programme\Geburtstage\BirthdayRemember.exe" "autostart"
                                                O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Programme\Gadu-Gadu\gg.exe" /tray
                                                O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
                                                O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
                                                O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
                                                O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} - ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
                                                O17 - HKLM\System\CCS\Services\Tcpip\..\{08315B10-D3EA-4E07-8E78-71ACD1F4FDC6}: NameServer = 194.204.152.34 217.98.63.164
                                                O17 - HKLM\System\CCS\Services\Tcpip\..\{11719527-022A-42AF-8809-F8AE4BAED89A}: NameServer = 192.168.2.1
                                                O17 - HKLM\System\CS1\Services\Tcpip\..\{08315B10-D3EA-4E07-8E78-71ACD1F4FDC6}: NameServer = 194.204.152.34 217.98.63.164
                                                O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
                                                O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
                                                O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPxySvc.exe
                                                O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
                                                O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
                                                O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
                                                O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
                                                O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\SpeedManager\tsmsvc.exe

                                                jesli cos skopalam to poprawie,ufff
                                                  • Gość: Marzena Re: Piecyku gazowy i netsec................... IP: *.neoplus.adsl.tpnet.pl 06.03.05, 00:08
                                                    Przeskanowalam.Moze niepotrzebnie sie wystraszylam,ale po kazdym skanowaniu Adwarem wyskakuje mi okno Nortona i informuje , ze znalazl w objekcie C:/tcposmod.exe virusa o nazwie Backdoor.trojan. i potem cos jakby ze akcja nortona zakonczyla sie powodzeniem.A potem to samo.Niestety tak daleko moja znajomosc niemieckiego nie siega.Moze ja to zle rozumiem.Skanowalam adwarem juz kilka razy,zawsze jest tak samo.Nie rozumiem tego.
                                                  • Gość: piecyk gazowy Re: Piecyku gazowy i netsec................... IP: *.tpnet.pl / *.tpnet.pl 06.03.05, 12:09
                                                    Gość portalu: Marzena napisał(a):

                                                    > Komputer nie znalazl tego pliku.Czyli chyba jest usuniety a komunikat wyskakuje
                                                    > automatycznie.

                                                    Ale w takim razie skąd komunikat? Dziwne. Może to jest ukryty plik? Spróbuj
                                                    zrobić tak: Start -> Uruchom, wklej polecenie:
                                                    attrib -h -s -r C:/tcposmod.exe
                                                    wciśnij OK. Potem sprawdź, czy na C jest ten plik. Jeśli tak, usuń.

                                                    > Chcialabym zmienic jednak program na polska wersje,byloby mi latwiej zrozumiec
                                                    > polecenia.Doradzisz mi-Windows czy Linux?Jak widzisz jestem laikiem,od niedawna
                                                    > mam swoj komputer.Z ktorym lepiej sobie poradze?

                                                    Ja właśnie wczoraj zainstalowałem Linuksa i muszę powiedzieć, że niepewnie się w
                                                    nim czuję. ;-) Trudno jednoznacznie coś doradzić, bo to zależy od tego, jak
                                                    komputer ma być wykorzystywany, niemniej wydaje mi się, że ze względu na
                                                    dostępność oprogramowania, jak i doświadczenie innych (którzy w razie
                                                    ewentualnych problemów będą mogli Ci pomóc) lepiej wybrać Windows.

                                                    A może załóż osobny wątek na forum Komputery?
                                                  • Gość: piecyk gazowy Re: Piecyku gazowy i netsec................... IP: *.tpnet.pl / *.tpnet.pl 06.03.05, 12:48
                                                    Gość portalu: Marzena napisał(a):

                                                    > Jest na C.Probuje go usunac,ale wyskakuje dla odmiany komunikat, ze nie moge go
                                                    > usunac ,bo jest aktualnie uzywany.Chyba zrobilo sie bledne kolo.Jest na to jak
                                                    > is sposob?

                                                    Ctrl + Shift + Esc, przejdź do zakładki Procesy, odszukaj plik na liście,
                                                    podświetl go i wybierz Zamknij proces. Potem spróbuj jeszcze raz go skasować.

                                                    > I co on mi moze zrobic w kompie?Czego moge sie spodziewac?

                                                    Nie wiem dokładnie, to jakiś "bakdoor", ktoś ewentualnie mógłby kontrolować Twój
                                                    komputer (np. kasować pliki, wykradać hasła itp.), ale nie panikuj. ;-)

                                                    I wklej nowego loga. Było czysto, ale to dziwne, że backdoor znów jest
                                                    uruchomiony...
                                                  • Gość: Marzena Re: Piecyku gazowy i netsec................... IP: *.neoplus.adsl.tpnet.pl 06.03.05, 13:24
                                                    Logfile of HijackThis v1.99.1
                                                    Scan saved at 13:27:36, on 2005-03-06
                                                    Platform: Windows XP SP1 (WinNT 5.01.2600)
                                                    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

                                                    Running processes:
                                                    C:\WINDOWS\System32\smss.exe
                                                    C:\WINDOWS\system32\winlogon.exe
                                                    C:\WINDOWS\system32\services.exe
                                                    C:\WINDOWS\system32\lsass.exe
                                                    C:\WINDOWS\system32\svchost.exe
                                                    C:\WINDOWS\System32\svchost.exe
                                                    C:\WINDOWS\system32\spoolsv.exe
                                                    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
                                                    C:\Programme\Norton Internet Security\NISUM.EXE
                                                    C:\Programme\Norton Internet Security\ccPxySvc.exe
                                                    C:\Programme\Norton AntiVirus\navapsvc.exe
                                                    C:\WINDOWS\Explorer.EXE
                                                    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
                                                    C:\PROGRA~1\POP-UP~1\dpps2.exe
                                                    C:\WINDOWS\System32\RunDll32.exe
                                                    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
                                                    C:\Programme\QuickTime\qttask.exe
                                                    C:\PROGRA~1\NEOSTR~1\CnxMon.exe
                                                    C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe
                                                    C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
                                                    C:\WINDOWS\System32\ctfmon.exe
                                                    C:\Programme\SpywareGuard\sgmain.exe
                                                    C:\Programme\SpywareGuard\sgbhp.exe
                                                    C:\Programme\Neostrada TP\NeostradaTP.exe
                                                    C:\Programme\Neostrada TP\ComComp.exe
                                                    C:\Programme\Neostrada TP\Watch.exe
                                                    C:\Programme\Gadu-Gadu\gg.exe
                                                    C:\Programme\Opera\Opera.exe
                                                    C:\WINDOWS\System32\taskmgr.exe
                                                    C:\Dokumente und Einstellungen\Admin\Eigene Dateien\HijackThis.exe

                                                    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = szukaj.wp.pl
                                                    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.neostrada.pl
                                                    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = www.google.de/
                                                    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
                                                    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
                                                    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
                                                    O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\SpywareGuard\dlprotect.dll
                                                    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
                                                    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
                                                    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
                                                    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
                                                    O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
                                                    O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
                                                    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
                                                    O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\PROGRA~1\POP-UP~1\dpps2.exe"
                                                    O4 - HKLM\..\Run: [HGTXPEI] C:\WINDOWS\System32\FirstReboot.exe
                                                    O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint
                                                    O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
                                                    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
                                                    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
                                                    O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe
                                                    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
                                                    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
                                                    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
                                                    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
                                                    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot\TeaTimer.exe
                                                    O4 - HKCU\..\Run: [BirthdayRemember6] "C:\Programme\Geburtstage\BirthdayRemember.exe" "autostart"
                                                    O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Programme\Gadu-Gadu\gg.exe" /tray
                                                    O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
                                                    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
                                                    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
                                                    O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} - ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
                                                    O17 - HKLM\System\CCS\Services\Tcpip\..\{08315B10-D3EA-4E07-8E78-71ACD1F4FDC6}: NameServer = 194.204.152.34 217.98.63.164
                                                    O17 - HKLM\System\CCS\Services\Tcpip\..\{11719527-022A-42AF-8809-F8AE4BAED89A}: NameServer = 192.168.2.1
                                                    O17 - HKLM\System\CS1\Services\Tcpip\..\{08315B10-D3EA-4E07-8E78-71ACD1F4FDC6}: NameServer = 194.204.152.34 217.98.63.164
                                                    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
                                                    O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
                                                    O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPxySvc.exe
                                                    O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
                                                    O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
                                                    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
                                                    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
                                                    O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\SpeedManager\tsmsvc.exe

                                                    Pojawil sie plik na C ale nie ma go na liscie procesow, wiec nie moge go usunac.
                                                  • Gość: piecyk gazowy Re: Piecyku gazowy i netsec................... IP: *.tpnet.pl / *.tpnet.pl 06.03.05, 14:07
                                                    > Running processes:
                                                    > C:\WINDOWS\System32\smss.exe
                                                    > C:\WINDOWS\system32\winlogon.exe
                                                    > C:\WINDOWS\system32\services.exe
                                                    > C:\WINDOWS\system32\lsass.exe
                                                    > C:\WINDOWS\system32\svchost.exe
                                                    > C:\WINDOWS\System32\svchost.exe
                                                    > C:\WINDOWS\system32\spoolsv.exe
                                                    > C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
                                                    > C:\Programme\Norton Internet Security\NISUM.EXE
                                                    > C:\Programme\Norton Internet Security\ccPxySvc.exe
                                                    > C:\Programme\Norton AntiVirus\navapsvc.exe
                                                    > C:\WINDOWS\Explorer.EXE
                                                    > C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
                                                    > C:\PROGRA~1\POP-UP~1\dpps2.exe
                                                    > C:\WINDOWS\System32\RunDll32.exe
                                                    > C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
                                                    > C:\Programme\QuickTime\qttask.exe
                                                    > C:\PROGRA~1\NEOSTR~1\CnxMon.exe
                                                    > C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe
                                                    > C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
                                                    > C:\WINDOWS\System32\ctfmon.exe
                                                    > C:\Programme\SpywareGuard\sgmain.exe
                                                    > C:\Programme\SpywareGuard\sgbhp.exe
                                                    > C:\Programme\Neostrada TP\NeostradaTP.exe
                                                    > C:\Programme\Neostrada TP\ComComp.exe
                                                    > C:\Programme\Neostrada TP\Watch.exe
                                                    > C:\Programme\Gadu-Gadu\gg.exe
                                                    > C:\Programme\Opera\Opera.exe
                                                    > C:\WINDOWS\System32\taskmgr.exe
                                                    > C:\Dokumente und Einstellungen\Admin\Eigene Dateien\HijackThis.exe

                                                    Ale na liście procesów nie ma tego pliku... Dziwne.
                                                  • Gość: Marzena Re: Piecyku gazowy i netsec................... IP: *.neoplus.adsl.tpnet.pl 06.03.05, 17:03
                                                    Nie da sie.Jestem calkiem zniechecona.Jedynie klikajac na nazwe tego trojana z meldunkiem nortona pokazalo mi sie okienko i takie zapisy:plik virauto.cqi serwer www.sarc.com. typ.application/octet-strem Nie wiem czy to cos da? Oczywiscie nie otwieralam go.Natomiast gdy wlaczalam awaryjny to na ten czarny ekran nakladala mi sie mocno niebieska ramka z jakimis napisami.Nie wiem czy czegos nie poknocilam.Zasluguje w pelni na okreslenie - nie miala baba klopotu...
    • Gość: ktosiowa Re: Trj/Qhost.Q / help!!! IP: *.blich.krakow.pl 07.03.05, 23:12
      czy ja bym tez mogla prosic o pomoc?

      tylko do mnie duzymi literami, bo ja sie nie znam...

      Logfile of HijackThis v1.99.1
      Scan saved at 23:09:08, on 2005-03-07
      Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Common Files\Real\Update_OB\realsched.exe
      C:\Program Files\Common Files\Symantec Shared\ccApp.exe
      C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
      C:\Program Files\Winamp\winampa.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Gadu-Gadu\gg.exe
      C:\PROGRA~1\INCRED~1\bin\IMApp.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\PROGRA~1\FlashGet\flashget.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\Downloads\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
      F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
      O2 - BHO: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
      O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1
      \FlashGet\jccatch.dll
      O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program
      Files\Norton AntiVirus\NavShExt.dll
      O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} -
      C:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll
      O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
      C:\Program Files\Norton AntiVirus\NavShExt.dll
      O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} -
      C:\PROGRA~1\FlashGet\fgiebar.dll
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common
      Files\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
      Shared\ccApp.exe"
      O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec
      Shared\ccRegVfy.exe"
      O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~2
      \AdvTools\ADVCHK.EXE
      O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton
      SystemWorks\Norton Ghost\GhostStartTrayApp.exe
      O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
      O4 - HKLM\..\Run: [StopSignStatus] Rundll32.exe "C:\Program Files\Common
      Files\eAcceleration\Installer\stopsinfo.dll",VerifyStatus
      O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\RunOnce: [StopSignStatus] Rundll32.exe "C:\Program Files\Common
      Files\eAcceleration\Installer\stopsinfo.dll",VerifyStatus /ro
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
      O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
      O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
      O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common
      Files\Adobe\Calibration\Adobe Gamma Loader.exe
      O8 - Extra context menu item: &Add animation to IncrediMail Style Box -
      C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
      O8 - Extra context menu item: Download All by FlashGet - C:\PROGRA~1
      \FlashGet\jc_all.htm
      O8 - Extra context menu item: Download using FlashGet - C:\PROGRA~1
      \FlashGet\jc_link.htm
      O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
      res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
      C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} -
      C:\PROGRA~1\FlashGet\flashget.exe
      O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-
      0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
      C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
      00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: ING Bank Online - ssl.bsk.com.pl/bskonl/component/INGOnl.cab
      O16 - DPF: komentator - sport.onet.pl/komentator.cab
      O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) -
      webkamera.karlshamn.se/activex/AxisCamControl.cab
      O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
      www.pandasoftware.com/activescan/as5/asinst.cab
      O16 - DPF: {A9ED6AA2-D9D4-4D71-9586-E293E2E3580B} (GameDesire
      Marbies&Diamonds) - 67.15.101.3/g_bin/pl/marbles_2_0_0_18.cab
      O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
      bezpieczenstwo.onet.pl/skaner/SkanerOnline.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{BDD6E9C1-7E04-437E-A52D-335EF26BEB19}:
      NameServer = 62.89.73.3,213.134.128.19
      O18 - Protocol: textwareilluminatorbase - {CE5CD329-1650-414A-8DB0-
      4CBF72FAED87} - C:\WINDOWS\System32\textwareilluminatorbaseProtocol.dll
      O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
      C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
      O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec
      Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
      O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1
      \NORTON~1\GHOSTS~2.EXE
      O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec
      Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
      O23 - Service: Norton Unerase Protection (NProtectService) - Symantec
      Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
      O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
      C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
      O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
      Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
      O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1
      \SPEEDD~1\nopdb.exe
      O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program
      Files\Common Files\Symantec Shared\Security Center\SymWSC.exe




      z gory dziekuje
      • Gość: piecyk gazowy Re: Trj/Qhost.Q / help!!! IP: *.tpnet.pl / *.tpnet.pl 07.03.05, 23:50
        Odpal HT, wybierz Do a system scan only, zaznacz poniższe pozycje i wciśnij Fix
        Checked:

        > F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
        > O2 - BHO: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)

        > O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} -
        > C:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll

        > O4 - HKLM\..\Run: [StopSignStatus] Rundll32.exe "C:\Program Files\Common
        > Files\eAcceleration\Installer\stopsinfo.dll",VerifyStatus

        > O4 - HKLM\..\RunOnce: [StopSignStatus] Rundll32.exe "C:\Program Files\Common
        > Files\eAcceleration\Installer\stopsinfo.dll",VerifyStatus /ro

        > O18 - Protocol: textwareilluminatorbase - {CE5CD329-1650-414A-8DB0-
        > 4CBF72FAED87} - C:\WINDOWS\System32\textwareilluminatorbaseProtocol.dll
          • Gość: ktosiowa a i nowy log, bo chyba w takiej kolejnosci pomagac IP: *.blich.krakow.pl 08.03.05, 00:11
            ie


            Logfile of HijackThis v1.99.1
            Scan saved at 00:10:04, on 2005-03-08
            Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
            MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

            Running processes:
            C:\WINDOWS\Explorer.EXE
            C:\Program Files\Common Files\Real\Update_OB\realsched.exe
            C:\Program Files\Common Files\Symantec Shared\ccApp.exe
            C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
            C:\Program Files\Winamp\winampa.exe
            C:\WINDOWS\system32\ctfmon.exe
            C:\Program Files\Gadu-Gadu\gg.exe
            C:\PROGRA~1\INCRED~1\bin\IMApp.exe
            C:\Program Files\Internet Explorer\iexplore.exe
            C:\Program Files\Internet Explorer\iexplore.exe
            C:\Program Files\Messenger\msmsgs.exe
            C:\Downloads\HijackThis.exe

            R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
            F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
            O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1
            \FlashGet\jccatch.dll
            O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program
            Files\Norton AntiVirus\NavShExt.dll
            O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
            C:\Program Files\Norton AntiVirus\NavShExt.dll
            O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} -
            C:\PROGRA~1\FlashGet\fgiebar.dll
            O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common
            Files\Real\Update_OB\realsched.exe" -osboot
            O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
            Shared\ccApp.exe"
            O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec
            Shared\ccRegVfy.exe"
            O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~2
            \AdvTools\ADVCHK.EXE
            O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton
            SystemWorks\Norton Ghost\GhostStartTrayApp.exe
            O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
            O4 - HKLM\..\Run: [StopSignStatus] Rundll32.exe "C:\Program Files\Common
            Files\eAcceleration\Installer\stopsinfo.dll",VerifyStatus
            O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
            O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

Popularne wątki

Nie pamiętasz hasła

lub ?

 

Nie masz jeszcze konta? Zarejestruj się

Nakarm Pajacyka