Wolna jak ślimak Neostrada i XP - pomocy!

IP: *.neoplus.adsl.tpnet.pl 29.01.05, 20:51
Witam:)

Mam straszny problem z systemem WinXP i z Neostradą - działa mi w ślimaczym
tempie, przyprawiając mnie o chęć rozpierdzielenia tego małego modemiku,
razem z kompem, o podłogę :|

Przez długi czas walczyłam z wirusem marki sasser, i udało mi się go wytępić,
zgodnie z instrukcją na stronce Microsoftu, a teraz widocznie władowały mi
się jakieś inne spowalniacze. Net zachowuje się tak, ze po włączeniu jakieś
1-2 min. jest wszystko OK, a potem wszystko idzie cholernie wolno, by w
ciągu 5 minut przestać w ogóle działać. Po zrestartowaniu kompa historia
powtarza się od początku :(
Codziennie skanuje sobie kompa Ad-awarem i zawsze wywala mi jakieś 2-10
critical objects, oczywiście wszystko wywalam – ale to nic nie zmienia.

W ogóle po uruchomieniu kompa od razu widać, że jest w nim jakiś syf - gdy
włączam menadżera zadań to mam od razu jakąś cholerna ilość aktywnych
procesów – np. 80% aż do 100% choć niczego nie uruchamiam, nawet explorera
czy mozilli. I widzę tam jakieś badziewia typu dalderv32.exe czy MSPSU.EXE
czy jakoś tak, i z 5 procesów o tej samej nazwie svchost.exe i spooolsv.exe.

Znajomy kazał mi zainstalować serwis paka 2 ale nijak nie mogę tego sciągnąć –
nie wiem, czy mam jakiś zły adres, ciągle zrywa mi połączenie. Już mam tego
dość bo płace za to qrestwo 60 dych miesięcznie a nic nie mogę posurfować.

Mam nadzieję, że ktoś mi coś poradzi. Prawda jest taka, że się średnio znam
na kompach od tej systemowej strony – wszystko, co w nim robię to efekt
experymentu na żywym organiźmie – już 2 razy robiłam na nim sama system, żeby
wytępić te wirusy, instalowałam niby te potrzebne apdejty, mam jakiegoś tam
firewalla Kerio, nie łażę po dziwnych stronach i nie ściągam niczego
podejrzanego – a ciągle coś z nim się kwasi....
    • Gość: piecyk gazowy Re: Wolna jak ślimak Neostrada i XP - pomocy! IP: *.tpnet.pl / *.tpnet.pl 29.01.05, 21:20
      forum.gazeta.pl/forum/72,2.html?f=430&w=20006874&a=20007013
      • Gość: Ewa Re: Wolna jak ślimak Neostrada i XP - pomocy! IP: *.neoplus.adsl.tpnet.pl 29.01.05, 22:22
        Więc tak:


        Logfile of HijackThis v1.99.0
        Scan saved at 22:21:45, on 2005-01-29
        Platform: Windows XP (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 (6.00.2600.0000)

        Running processes:
        H:\WINDOWS\System32\smss.exe
        H:\WINDOWS\system32\winlogon.ex e
        H:\WINDOWS\system32\services.ex e
        H:\WINDOWS\system32\lsass.exe
        H:\WINDOWS\system32\svchost.exe
        H:\WINDOWS\System32\svchost.exe
        H:\WINDOWS\system32\spoolsv.exe
        H:\WINDOWS\Explorer.EXE
        H:\PROGRA~1\Wanadoo\TaskbarIcon .exe
        H:\WINDOWS\System32\ntsf.exe
        H:\Program Files\D-Tools\daemon.exe
        H:\windows\system32\csmss32.exe
        H:\Program Files\Messenger\msmsgs.exe
        H:\WINDOWS\System32\ctfmon.exe
        H:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
        H:\WINDOWS\System32\taskmgr.exe
        H:\Program Files\Internet Explorer\iexplore.exe
        H:\WINDOWS\System32\devldr32.ex e
        H:\Program Files\Internet Explorer\iexplore.exe
        H:\Documents and Settings\Ed & Evulindek\Pulpit\HijackThis.exe

        R1 - HKCU\Software\Microsoft\Interne t Explorer\Main,Window Title = Neostrada
        Plus wita Cie w Internecie
        R0 - HKCU\Software\Microsoft\Interne t Explorer\Toolbar,LinksFolderNam e = Łącza
        O1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru
        awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com
        downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com
        ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com
        mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com
        office.microsoft.com phx.corporate-ir.net secure.nai.com
        securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com
        support.microsoft.com symantec.com update.symantec.com updates.symantec.com
        us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch
        www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com
        www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com
        www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com
        www.viruslist.com www.viruslist.ru www3.ca.com
        O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9 082467} -
        H:\WINDOWS\System32\msdxm.ocx
        O4 - HKLM\..\Run: [WOOWATCH] H:\PROGRA~1\Wanadoo\Watch.exe
        O4 - HKLM\..\Run: [WOOTASKBARICON] H:\PROGRA~1\Wanadoo\TaskbarIcon .exe
        O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe
        O4 - HKLM\..\Run: [wgxgRSZ_`wangnan] H:\WINDOWS\System32\upiyfxyfaci fcq.exe
        O4 - HKLM\..\Run: [System Update] H:\WINDOWS\System32\bxqfe.exe
        O4 - HKLM\..\Run: [DAEMON Tools-1033] "H:\Program Files\D-Tools\daemon.exe" -
        lang 1033
        O4 - HKLM\..\Run: [spoolsvr32] h:\windows\system32\csmss32.exe
        O4 - HKLM\..\Run: [adiras] adiras.exe
        O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] ntsf.exe
        O4 - HKLM\..\RunServices: [wgxgRSZ_`wangnan] H:\WINDOWS\System32
        \upiyfxyfacifcq.exe
        O4 - HKCU\..\Run: [MSMSGS] "H:\Program Files\Messenger\msmsgs.exe" /background
        O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe
        O4 - HKCU\..\Run: [ctfmon.exe] H:\WINDOWS\System32\ctfmon.exe
        O4 - HKCU\..\Run: [Gadu-Gadu] "G:\Apps\Gadu-Gadu\gg.exe" /tray
        O4 - Global Startup: DSLMON.lnk = H:\Program Files\SAGEM\SAGEM F@st 800-840
        \dslmon.exe
        O4 - Global Startup: Microsoft Office.lnk = H:\Program Files\Microsoft
        Office\Office\OSA9.EXE
        O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF3 3E833C} (WUWebControl Class) -
        v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105571885215
        O17 - HKLM\System\CCS\Services\Tcpip\ ..\{D136A14F-35D3-43D9-B7DC-E12 FD8774E22}:
        NameServer = 194.204.152.34 217.98.63.164
        O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - H:\Program
        Files\Kerio\Personal Firewall 4\kpf4ss.exe

        • Gość: piecyk gazowy Re: Wolna jak ślimak Neostrada i XP - pomocy! IP: *.tpnet.pl / *.tpnet.pl 29.01.05, 22:31
          Teraz uruchom jeszcze raz HijackThis, wybierz Do a system scan, zaznacz
          poniższe pozycje i wciśnij Fix Checked:

          > O1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru
          > awaps.net ca.com dispatch.mcafee.com download.mcafee.com
          download.microsoft.com
          >
          > downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com
          > ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com
          > mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com
          > office.microsoft.com phx.corporate-ir.net secure.nai.com
          > securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com
          > support.microsoft.com symantec.com update.symantec.com updates.symantec.com
          > us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch
          > www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com
          > www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com
          > www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com
          > www.viruslist.com www.viruslist.ru www3.ca.com

          > O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe
          > O4 - HKLM\..\Run: [wgxgRSZ_`wangnan] H:\WINDOWS\System32\upiyfxyfaci fcq.exe
          > O4 - HKLM\..\Run: [System Update] H:\WINDOWS\System32\bxqfe.exe

          > O4 - HKLM\..\Run: [spoolsvr32] h:\windows\system32\csmss32.exe
          > O4 - HKLM\..\Run: [adiras] adiras.exe
          > O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] ntsf.exe
          > O4 - HKLM\..\RunServices: [wgxgRSZ_`wangnan] H:\WINDOWS\System32
          > \upiyfxyfacifcq.exe

          > O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe

          > O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - H:\Program
          > Files\Kerio\Personal Firewall 4\kpf4ss.exe

          Teraz wygeneruj nowego loga i ponownie wklej.
          • Gość: piecyk gazowy Korekta! IP: *.tpnet.pl / *.tpnet.pl 29.01.05, 22:32
            Tę pozycję oczywiście zostaw!

            > > O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - H:\Progra
            > m
            > > Files\Kerio\Personal Firewall 4\kpf4ss.exe
            • Gość: Ewa Re: Korekta! IP: *.neoplus.adsl.tpnet.pl 29.01.05, 22:43
              Logfile of HijackThis v1.99.0
              Scan saved at 22:41:56, on 2005-01-29
              Platform: Windows XP (WinNT 5.01.2600)
              MSIE: Internet Explorer v6.00 (6.00.2600.0000)

              Running processes:
              H:\WINDOWS\System32\smss.exe
              H:\WINDOWS\system32\winlogon.ex e
              H:\WINDOWS\system32\services.ex e
              H:\WINDOWS\system32\lsass.exe
              H:\WINDOWS\system32\svchost.exe
              H:\WINDOWS\System32\svchost.exe
              H:\WINDOWS\system32\spoolsv.exe
              H:\PROGRA~1\Wanadoo\TaskbarIcon .exe
              H:\WINDOWS\System32\ntsf.exe
              H:\Program Files\D-Tools\daemon.exe
              H:\windows\system32\csmss32.exe
              H:\Program Files\Messenger\msmsgs.exe
              H:\WINDOWS\System32\ctfmon.exe
              H:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
              H:\WINDOWS\System32\taskmgr.exe
              H:\Program Files\Internet Explorer\iexplore.exe
              H:\Program Files\Internet Explorer\iexplore.exe
              H:\Program Files\Windows Media Player\wmplayer.exe
              H:\WINDOWS\explorer.exe
              H:\Documents and Settings\Ed & Evulindek\Pulpit\HijackThis.exe

              R1 - HKCU\Software\Microsoft\Interne t Explorer\Main,Window Title = Neostrada
              Plus wita Cie w Internecie
              R0 - HKCU\Software\Microsoft\Interne t Explorer\Toolbar,LinksFolderNam e = Łącza
              O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9 082467} -
              H:\WINDOWS\System32\msdxm.ocx
              O4 - HKLM\..\Run: [WOOWATCH] H:\PROGRA~1\Wanadoo\Watch.exe
              O4 - HKLM\..\Run: [WOOTASKBARICON] H:\PROGRA~1\Wanadoo\TaskbarIcon .exe
              O4 - HKLM\..\Run: [DAEMON Tools-1033] "H:\Program Files\D-Tools\daemon.exe" -
              lang 1033
              O4 - HKLM\..\Run: [spoolsvr32] h:\windows\system32\csmss32.exe
              O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe
              O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] ntsf.exe
              O4 - HKCU\..\Run: [MSMSGS] "H:\Program Files\Messenger\msmsgs.exe" /background
              O4 - HKCU\..\Run: [ctfmon.exe] H:\WINDOWS\System32\ctfmon.exe
              O4 - HKCU\..\Run: [Gadu-Gadu] "G:\Apps\Gadu-Gadu\gg.exe" /tray
              O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe
              O4 - Global Startup: DSLMON.lnk = H:\Program Files\SAGEM\SAGEM F@st 800-840
              \dslmon.exe
              O4 - Global Startup: Microsoft Office.lnk = H:\Program Files\Microsoft
              Office\Office\OSA9.EXE
              O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF3 3E833C} (WUWebControl Class) -
              v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105571885215
              O17 - HKLM\System\CCS\Services\Tcpip\ ..\{D136A14F-35D3-43D9-B7DC-E12 FD8774E22}:
              NameServer = 194.204.152.34 217.98.63.164
              O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - H:\Program
              Files\Kerio\Personal Firewall 4\kpf4ss.exe


              Ehhh nic nie czaję z tymi robaczkami :P jestem ciemna jak tabaka w rogu
              • Gość: piecyk gazowy Re: Korekta! IP: *.tpnet.pl / *.tpnet.pl 29.01.05, 23:01
                Wyrzuć:

                > O4 - HKLM\..\Run: [spoolsvr32] h:\windows\system32\csmss32.exe
                > O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe
                > O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] ntsf.exe

                > O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe


                I wklej nowego loga.
                • Gość: Ewa Re: Korekta! IP: *.neoplus.adsl.tpnet.pl 29.01.05, 23:06
                  Logfile of HijackThis v1.99.0
                  Scan saved at 23:05:18, on 2005-01-29
                  Platform: Windows XP (WinNT 5.01.2600)
                  MSIE: Internet Explorer v6.00 (6.00.2600.0000)

                  Running processes:
                  H:\WINDOWS\System32\smss.exe
                  H:\WINDOWS\system32\winlogon.ex e
                  H:\WINDOWS\system32\services.ex e
                  H:\WINDOWS\system32\lsass.exe
                  H:\WINDOWS\system32\svchost.exe
                  H:\WINDOWS\System32\svchost.exe
                  H:\WINDOWS\system32\spoolsv.exe
                  H:\PROGRA~1\Wanadoo\TaskbarIcon .exe
                  H:\WINDOWS\System32\ntsf.exe
                  H:\Program Files\D-Tools\daemon.exe
                  H:\windows\system32\csmss32.exe
                  H:\Program Files\Messenger\msmsgs.exe
                  H:\WINDOWS\System32\ctfmon.exe
                  H:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
                  H:\WINDOWS\System32\taskmgr.exe
                  H:\Program Files\Internet Explorer\iexplore.exe
                  H:\Program Files\Internet Explorer\iexplore.exe
                  H:\Program Files\Windows Media Player\wmplayer.exe
                  H:\WINDOWS\explorer.exe
                  H:\Documents and Settings\Ed & Evulindek\Pulpit\HijackThis.exe

                  R1 - HKCU\Software\Microsoft\Interne t Explorer\Main,Window Title = Neostrada
                  Plus wita Cie w Internecie
                  R0 - HKCU\Software\Microsoft\Interne t Explorer\Toolbar,LinksFolderNam e = Łącza
                  O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9 082467} -
                  H:\WINDOWS\System32\msdxm.ocx
                  O4 - HKLM\..\Run: [WOOWATCH] H:\PROGRA~1\Wanadoo\Watch.exe
                  O4 - HKLM\..\Run: [WOOTASKBARICON] H:\PROGRA~1\Wanadoo\TaskbarIcon .exe
                  O4 - HKLM\..\Run: [DAEMON Tools-1033] "H:\Program Files\D-Tools\daemon.exe" -
                  lang 1033
                  O4 - HKLM\..\Run: [spoolsvr32] h:\windows\system32\csmss32.exe
                  O4 - HKCU\..\Run: [MSMSGS] "H:\Program Files\Messenger\msmsgs.exe" /background
                  O4 - HKCU\..\Run: [ctfmon.exe] H:\WINDOWS\System32\ctfmon.exe
                  O4 - HKCU\..\Run: [Gadu-Gadu] "G:\Apps\Gadu-Gadu\gg.exe" /tray
                  O4 - Global Startup: DSLMON.lnk = H:\Program Files\SAGEM\SAGEM F@st 800-840
                  \dslmon.exe
                  O4 - Global Startup: Microsoft Office.lnk = H:\Program Files\Microsoft
                  Office\Office\OSA9.EXE
                  O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF3 3E833C} (WUWebControl Class) -
                  v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105571885215
                  O17 - HKLM\System\CCS\Services\Tcpip\ ..\{D136A14F-35D3-43D9-B7DC-E12 FD8774E22}:
                  NameServer = 194.204.152.34 217.98.63.164
                  O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - H:\Program
                  Files\Kerio\Personal Firewall 4\kpf4ss.exe

                  • Gość: piecyk gazowy Re: Korekta! IP: *.tpnet.pl / *.tpnet.pl 29.01.05, 23:07
                    Ten wraca:

                    > O4 - HKLM\..\Run: [spoolsvr32] h:\windows\system32\csmss32.exe

                    Spróbuj jeszcze raz + nowy log.
                    • Gość: Ewa Re: Korekta! IP: *.neoplus.adsl.tpnet.pl 29.01.05, 23:19
                      Znowu jest :(

                      Logfile of HijackThis v1.99.0
                      Scan saved at 23:19:04, on 2005-01-29
                      Platform: Windows XP (WinNT 5.01.2600)
                      MSIE: Internet Explorer v6.00 (6.00.2600.0000)

                      Running processes:
                      H:\WINDOWS\System32\smss.exe
                      H:\WINDOWS\system32\winlogon.ex e
                      H:\WINDOWS\system32\services.ex e
                      H:\WINDOWS\system32\lsass.exe
                      H:\WINDOWS\system32\svchost.exe
                      H:\WINDOWS\System32\svchost.exe
                      H:\WINDOWS\system32\spoolsv.exe
                      H:\PROGRA~1\Wanadoo\TaskbarIcon .exe
                      H:\WINDOWS\System32\ntsf.exe
                      H:\Program Files\D-Tools\daemon.exe
                      H:\windows\system32\csmss32.exe
                      H:\Program Files\Messenger\msmsgs.exe
                      H:\WINDOWS\System32\ctfmon.exe
                      H:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
                      H:\WINDOWS\System32\taskmgr.exe
                      H:\Program Files\Internet Explorer\iexplore.exe
                      H:\Program Files\Internet Explorer\iexplore.exe
                      H:\Program Files\Windows Media Player\wmplayer.exe
                      H:\WINDOWS\explorer.exe
                      H:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
                      H:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
                      H:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
                      H:\Documents and Settings\Ed & Evulindek\Pulpit\HijackThis.exe

                      R1 - HKCU\Software\Microsoft\Interne t Explorer\Main,Window Title = Neostrada
                      Plus wita Cie w Internecie
                      R0 - HKCU\Software\Microsoft\Interne t Explorer\Toolbar,LinksFolderNam e = Łącza
                      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9 082467} -
                      H:\WINDOWS\System32\msdxm.ocx
                      O4 - HKLM\..\Run: [WOOWATCH] H:\PROGRA~1\Wanadoo\Watch.exe
                      O4 - HKLM\..\Run: [WOOTASKBARICON] H:\PROGRA~1\Wanadoo\TaskbarIcon .exe
                      O4 - HKLM\..\Run: [DAEMON Tools-1033] "H:\Program Files\D-Tools\daemon.exe" -
                      lang 1033
                      O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe
                      O4 - HKLM\..\Run: [spoolsvr32] h:\windows\system32\csmss32.exe
                      O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] ntsf.exe
                      O4 - HKCU\..\Run: [MSMSGS] "H:\Program Files\Messenger\msmsgs.exe" /background
                      O4 - HKCU\..\Run: [ctfmon.exe] H:\WINDOWS\System32\ctfmon.exe
                      O4 - HKCU\..\Run: [Gadu-Gadu] "G:\Apps\Gadu-Gadu\gg.exe" /tray
                      O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe
                      O4 - Global Startup: DSLMON.lnk = H:\Program Files\SAGEM\SAGEM F@st 800-840
                      \dslmon.exe
                      O4 - Global Startup: Microsoft Office.lnk = H:\Program Files\Microsoft
                      Office\Office\OSA9.EXE
                      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF3 3E833C} (WUWebControl Class) -
                      v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105571885215
                      O17 - HKLM\System\CCS\Services\Tcpip\ ..\{D136A14F-35D3-43D9-B7DC-E12 FD8774E22}:
                      NameServer = 194.204.152.34 217.98.63.164
                      O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - H:\Program
                      Files\Kerio\Personal Firewall 4\kpf4ss.exe

                      • Gość: piecyk gazowy Re: Korekta! IP: *.tpnet.pl / *.tpnet.pl 29.01.05, 23:33
                        Hm... Nie znam tego trojana.

                        Wyłącz przywracanie systemu: www.wsp.krakow.pl/techsupp/blaster-virus.htm
                        (3. punkt)

                        Usuń te wpisy:

                        > O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe
                        > O4 - HKLM\..\Run: [spoolsvr32] h:\windows\system32\csmss32.exe
                        > O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] ntsf.exe

                        > O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe

                        Jeśli nie pomoże, ściągnij i zapisz skrypt Silent Runners:
                        www.silentrunners.org/Silent%20Runners.vbs
                        Uruchom, zostanie wygenerwowany plik tekstowy, wklej jego zawartość na forum.

                        Jak coś, to do jutra. ;-) Dobranoc.
                        • Gość: Ewa Re: Korekta! IP: *.neoplus.adsl.tpnet.pl 29.01.05, 23:43
                          Eh...
                          Zrobiłam te 2 pierwsze rzeczy i ten sk******* ciagle jest... no i po tym
                          silentrunnersie wygląda to tak:

                          "Silent Runners.vbs", revision 30
                          Operating System: Windows XP
                          Output limited to non-default values, except where indicated by "{++}"


                          Startup items buried in registry:
                          -----------------------------
                          • Gość: Kolobos Re: Korekta! IP: *.warszawa.sdi.tpnet.pl 30.01.05, 01:58
                            Najlepiej kliknij prawym przyciskiem myszy na pasku start i wybierz menadzer
                            zadan na liscie procesow odszukaj:
                            csmss32.exe i wybierz zakoncz proces, pozniej usun wpis z tym plikiem przy
                            pomocy hijackthis
                            Mozesz tez odrazu usunac ten plik po jego zamkniecu, jest on w:
                            H:\windows\system32\csmss32.exe
                            A co do ntsf.exe to najlepiej sciagnij łatki do windows'a z
                            www.windowsupdate.com i dopiero go usuwaj przy pomocy hijackthis, albo tak samo
                            jak csmss32.exe odszukaj go na liscie procesow, zabij i usun :-)
                            Lub tutaj -> www.sophos.com/virusinfo/analyses/w32rbotub.html w zakladce
                            advanced sa linki do odpowiednich latek :-)
                          • Gość: piecyk gazowy Re: Korekta! IP: *.tpnet.pl / *.tpnet.pl 30.01.05, 10:34
                            Nie ma tutaj nic nowego. Poza tym mam wrażenie, że to nie cały log.

                            Nie znam tego trojana, nie wiem dlaczego wraca, zainstaluj antywirusa, bo nie
                            masz żadnego.

                            Może być Avast
                            Darmowa rejestracja: www.avast.com/i_kat_207.php?lang=POL (mailem
                            przychodzi klucz, który trzeba podać podczas instalacji).
                            Program: files.avast.com/iavs4pro/setuppol.exe

                            Po zainstalowaniu uruchom Avasta i zaktualizuj go. Potem kliknij gdziekolwiek
                            prawym przyciskiem myszy na jego obszarze, z menu wybierz -> Ustaw skanowanie
                            podczas rozruchu -> Harmonogram i zrestartuj system. Zostanie uruchomione
                            skanowanie przed rozruchem systemu. Jeśli pojawia się monit, próbuj najpierw
                            naprawiać (leczyć) plik, jeśli się nie da - usuwaj.

                            Potem wklej nowego loga z HijackThis.
                            • Gość: Kolobos Re: Korekta! IP: *.warszawa.sdi.tpnet.pl 30.01.05, 11:24
                              Wraca pewnie dlatego, ze w momencie kasowania wpisu, caly czas jest uruchomiony
                              i mozliwe ze znowu sie dopisuje do rejestru ;-)
                              Ale wystarczy zrobic to co napisalem w innym poscie, czyli zabic proces i usnac
                              recznie plik, to rozwiaze problem, z drugim trojanem zrobic to samo i tyle :-)
                        • Gość: Kolobos Re: Korekta! IP: *.warszawa.sdi.tpnet.pl 30.01.05, 01:48
                          To ten trojan:
                          www.sophos.com/virusinfo/analyses/trojagentau.html
                          • Gość: Ewa Ja się chyba potnę:( IP: *.neoplus.adsl.tpnet.pl 30.01.05, 13:29
                            No nie!
                            Wczoraj wpieprzyly mi sie jeszcze jakies porno strony - szukalam - uwaga grafiki
                            z garniturami meskimi :):)i po kliknieciu na jakiegos linka ustawila mi si etaka
                            strona startowa: 213.159.117.134/index.php
                            a na pulpicie zainstalowala jakas ikona xxxsex czy jakos tak.
                            Oczywiscie w dodaj/usun programy ni ma niczego podejrzanego.
                            Log wyglada tak:

                            Logfile of HijackThis v1.99.0
                            Scan saved at 13:28:51, on 2005-01-30
                            Platform: Windows XP (WinNT 5.01.2600)
                            MSIE: Internet Explorer v6.00 (6.00.2600.0000)

                            Running processes:
                            H:\WINDOWS\System32\smss.exe
                            H:\WINDOWS\system32\winlogon.ex e
                            H:\WINDOWS\system32\services.ex e
                            H:\WINDOWS\system32\lsass.exe
                            H:\WINDOWS\system32\svchost.exe
                            H:\WINDOWS\System32\svchost.exe
                            H:\WINDOWS\system32\spoolsv.exe
                            H:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
                            H:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
                            H:\WINDOWS\Explorer.EXE
                            H:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
                            H:\PROGRA~1\Wanadoo\TaskbarIcon .exe
                            H:\Program Files\D-Tools\daemon.exe
                            H:\WINDOWS\System32\ntsf.exe
                            H:\WINDOWS\System32\systime.exe
                            H:\WINDOWS\msmsgrxp.exe
                            H:\WINDOWS\System32\ctfmon.exe
                            H:\WINDOWS\System32\systime.exe
                            H:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
                            H:\Program Files\Mozilla Firefox\firefox.exe
                            H:\WINDOWS\System32\taskmgr.exe
                            H:\Program Files\Microsoft Office\Office\WINWORD.EXE
                            H:\WINDOWS\system32\rundll32.ex e
                            H:\Program Files\Internet Explorer\iexplore.exe
                            H:\Documents and Settings\Ed & Evulindek\Pulpit\HijackThis.exe

                            R1 - HKCU\Software\Microsoft\Interne t Explorer\Main,Default_Page_URL =
                            213.159.117.134/index.php
                            R0 - HKCU\Software\Microsoft\Interne t Explorer\Main,Start Page =
                            213.159.117.134/index.php
                            R1 - HKLM\Software\Microsoft\Interne t Explorer\Main,Default_Page_URL =
                            213.159.117.134/index.php
                            R0 - HKLM\Software\Microsoft\Interne t Explorer\Main,Start Page =
                            213.159.117.134/index.php
                            R0 - HKCU\Software\Microsoft\Interne t Explorer\Main,Local Page =
                            213.159.117.134/index.php
                            R0 - HKLM\Software\Microsoft\Interne t Explorer\Main,Local Page =
                            213.159.117.134/index.php
                            R1 - HKCU\Software\Microsoft\Interne t Explorer\Main,Window Title = Neostrada
                            Plus wita Cie w Internecie
                            R0 - HKCU\Software\Microsoft\Interne t Explorer\Toolbar,LinksFolderNam e = Łącza
                            R3 - Default URLSearchHook is missing
                            O1 - Hosts: 69.20.16.183 auto.search.msn.com
                            O1 - Hosts: 69.20.16.183 search.netscape.com
                            O1 - Hosts: 69.20.16.183 ieautosearch
                            O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9 082467} -
                            H:\WINDOWS\System32\msdxm.ocx
                            O4 - HKLM\..\Run: [WOOWATCH] H:\PROGRA~1\Wanadoo\Watch.exe
                            O4 - HKLM\..\Run: [WOOTASKBARICON] H:\PROGRA~1\Wanadoo\TaskbarIcon .exe
                            O4 - HKLM\..\Run: [DAEMON Tools-1033] "H:\Program Files\D-Tools\daemon.exe"
                            -lang 1033
                            O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe
                            O4 - HKLM\..\Run: [SysTime] H:\WINDOWS\System32\systime.exe
                            O4 - HKLM\..\Run: [_Cat3] H:\WINDOWS\msmsgrxp.exe
                            O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] ntsf.exe
                            O4 - HKCU\..\Run: [ctfmon.exe] H:\WINDOWS\System32\ctfmon.exe
                            O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe
                            O4 - HKCU\..\Run: [SysTime] H:\WINDOWS\System32\systime.exe
                            O4 - Global Startup: DSLMON.lnk = H:\Program Files\SAGEM\SAGEM F@st
                            800-840\dslmon.exe
                            O4 - Global Startup: Microsoft Office.lnk = H:\Program Files\Microsoft
                            Office\Office\OSA9.EXE
                            O10 - Unknown file in Winsock LSP: h:\windows\system32\aklsp.dll
                            O10 - Unknown file in Winsock LSP: h:\windows\system32\aklsp.dll
                            O10 - Unknown file in Winsock LSP: h:\windows\system32\aklsp.dll
                            O10 - Unknown file in Winsock LSP: h:\windows\system32\aklsp.dll
                            O17 - HKLM\System\CCS\Services\Tcpip\ ..\{D136A14F-35D3-43D9-B7DC-E12 FD8774E22}:
                            NameServer = 194.204.152.34 217.98.63.164
                            O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - H:\Program
                            Files\Kerio\Personal Firewall 4\kpf4ss.exe


                            • netsec Re: Ja się chyba potnę:( 30.01.05, 13:52
                              Jeśli masz włączone przywracanie systemu to postaraj się przywrócić system,
                              inaczej usuniecie tego super ukrytego śmiecia, będzie bardzo trudne:
                              Wprowadza te wpisy:

                              > O1 - Hosts: 69.20.16.183 auto.search.msn.com
                              > O1 - Hosts: 69.20.16.183 search.netscape.com
                              > O1 - Hosts: 69.20.16.183 ieautosearch

                              Chętnie pomogę online, ale dopiero po 20.
Pełna wersja