piecyku - ratuj! raz jeszcze!

09.02.05, 01:14
dopadło mnie jakieś dziadostwo, którego żadną siłą nie mogę usunąć. wykrył je
tylko ad-aware, inne nie. problem w tym, że jest to proces (data miner), który
raz jest jak skanuję, przy następnym skanowaniu go nie ma, natomiast przy
kolejnym pojawia się znowu i za każdym razem ma inną nazwę, np.
C:/WINDOWS/apihg22/exe
C:/WINDOWS/sdkwf.exe
C:/WINDOWS/sysgr32.exe
C:/WINDOWS/ipws.exe
C:/WINDOWS/apigs.exe
po zresetowaniu komputera zanim system zacznie działać pojawia się okno z
komuniktem, że pliku (jednego z wyżej wymienionych) nie udało się znaleźć...
co z tym fantem zrobić? nic na niego nie działa...
proszę pomóż jak kiedyś :-)
    • m.gregor Re: piecyku - ratuj! raz jeszcze! 09.02.05, 08:25
      Ja nie piecyk ale moze tez pomoge: jakiego masz antywirusa (jakim skanujesz
      komputer). Nie chodzi mi o programy typu AdAware czy HiJackThis. Wyglada na to
      ze w systemie siedzi jakis wirus a te pliki to pliki tworzone przez niego w celu
      mnożenia sie i rozsylaniado innych komputerow. Jesli Twoj rezydentny (taki
      zainstalowany na stale a nie skaner on-line) skaner nic nie znajdzie to sprobuj
      przeskanowac komputer tym:
      www.pandasoftware.com/activescan/pol/activescan_principal.htm
      Daj znac jakie wyniki :-)
    • Gość: piecyk gazowy Re: piecyku - ratuj! raz jeszcze! IP: *.internetdsl.tpnet.pl 09.02.05, 09:50
      Myślę, że bez loga z HijackThis się nie obejdzie. ;-)

      spywareinfo.globalservers.com/~merijn/files/HijackThis.exe
      • lunatica dziękuję Wam, 09.02.05, 10:13
        niestety działać będę mogła dopiero po powrocie do domu :-(
        • Gość: piecyk gazowy Re: dziękuję Wam, IP: *.internetdsl.tpnet.pl 09.02.05, 10:15
          OK, a póki co popraw błąd w sygnaturce ("jedenj"). ;-)))
      • lunatica po Hijacku takie cuda: 09.02.05, 16:34
        Logfile of HijackThis v1.99.0
        Scan saved at 16:33:34, on 2005-02-09
        Platform: Windows XP SP1 (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\Explorer.EXE
        C:\WINDOWS\system32\spoolsv.exe
        C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
        C:\Program Files\Alwil Software\Avast4\ashServ.exe
        C:\Program Files\AVPersonal\AVWUPSRV.EXE
        C:\WINDOWS\System32\svchost.exe
        C:\Program Files\Common Files\YDP\UserAccessManager\useraccess.exe
        C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
        C:\WINDOWS\System32\igfxtray.exe
        C:\WINDOWS\System32\hkcmd.exe
        C:\Program Files\Apoint\Apoint.exe
        C:\Program Files\Java\jre1.5.0\bin\jusched.exe
        C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
        C:\WINDOWS\system32\mfcwy32.exe
        C:\WINDOWS\System32\ctfmon.exe
        C:\Program Files\Messenger\msmsgs.exe
        C:\Documents and Settings\Jan Moszczynski\Desktop\all\Gadu-Gadu\gg.exe
        C:\Program Files\PowerPanel\Program\PcfMgr.exe
        C:\Program Files\Apoint\Apntex.exe
        C:\Program Files\Mozilla Firefox\firefox.exe
        C:\WINDOWS\system32\mfcvj32.exe
        C:\DOCUMENTS AND SETTINGS\JAN MOSZCZYNSKI\DESKTOP\HijackThis.exe

        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
        res://C:\WINDOWS\bfpmk.dll/sp.html#28129
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
        res://C:\WINDOWS\bfpmk.dll/sp.html#28129
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
        res://C:\WINDOWS\bfpmk.dll/sp.html#28129
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
        res://C:\WINDOWS\bfpmk.dll/sp.html#28129
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
        res://C:\WINDOWS\bfpmk.dll/sp.html#28129
        R3 - Default URLSearchHook is missing
        O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
        C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
        O2 - BHO: (no name) - {7DB11ADC-366B-476F-A044-6EDCAD101014} -
        C:\WINDOWS\apihg32.dll
        O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
        C:\WINDOWS\System32\msdxm.ocx
        O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
        O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
        O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
        O4 - HKLM\..\Run: [WhenUSearchWHSE] C:\Program Files\WhenUSearch\whse.exe
        O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
        Files\Java\jre1.5.0\bin\jusched.exe
        O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
        O4 - HKLM\..\Run: [mfcwy32.exe] C:\WINDOWS\system32\mfcwy32.exe
        O4 - HKLM\..\RunOnce: [mfcvs32.exe] C:\WINDOWS\mfcvs32.exe
        O4 - HKLM\..\RunOnce: [sdkop32.exe] C:\WINDOWS\system32\sdkop32.exe
        O4 - HKLM\..\RunOnce: [ipmg32.exe] C:\WINDOWS\system32\ipmg32.exe
        O4 - HKLM\..\RunOnce: [mfcvj32.exe] C:\WINDOWS\system32\mfcvj32.exe
        O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
        O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
        O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash
        /minimized
        O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Documents and Settings\Jan
        Moszczynski\Desktop\all\Gadu-Gadu\gg.exe" /tray
        O4 - Global Startup: PowerPanel.lnk = ?
        O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
        O8 - Extra context menu item: E&xport to Microsoft Excel -
        res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
        O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
        C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
        O9 - Extra 'Tools' menuitem: Sun Java Console -
        {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
        Files\Java\jre1.5.0\bin\npjpi150.dll
        O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -
        C:\WINDOWS\System32\Shdocvw.dll
        O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
        O14 - IERESET.INF: START_PAGE_URL=www.sony.com/vaiopeople
        O15 - Trusted Zone: *.awmdabest.com
        O15 - Trusted Zone: *.frame.crazywinnings.com
        O15 - Trusted Zone: *.awmdabest.com (HKLM)
        O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
        O15 - Trusted IP range: 206.161.125.149
        O15 - Trusted IP range: (HKLM)
        O16 - DPF: BPHOnl -
        e-bank.bphpbk.pl/bph/portal/starts.nsf/econline/$File/BPHOnl.cab
        O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
        v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096577797984
        O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) -
        www.bph.pl/pi/components/SignActivX.cab
        O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) -
        sc.groups.msn.com/controls/FileUC/MsnUpld.cab
        O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
        www.pandasoftware.com/activescan/as5/asinst.cab
        O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
        skaner.mks.com.pl/SkanerOnline.cab
        O16 - DPF: {FF054BED-D972-4215-897E-726C3488DDBB} (sonyctl.sonycm) -
        supportcentral.sel.sony.com/sdccommon/download/sonyctl.CAB
        O17 - HKLM\System\CCS\Services\Tcpip\..\{E12FE358-9EF1-435B-9390-BE84D04219E0}:
        NameServer = 149.156.21.5,149.156.96.9
        O18 - Protocol: textwareilluminatorbase - {CE5CD329-1650-414A-8DB0-4CBF72FAED87}
        - C:\WINDOWS\System32\textwareilluminatorbaseProtocol.dll
        O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Program Files\Alwil
        Software\Avast4\aswUpdSv.exe
        O23 - Service: avast! Antivirus - Unknown - C:\Program Files\Alwil
        Software\Avast4\ashServ.exe
        O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil
        Software\Avast4\ashMaiSv.exe
        O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Program
        Files\AVPersonal\AVWUPSRV.EXE
        O23 - Service: Sony SPTI Service - Sony Corporation - C:\Program Files\Common
        Files\Sony Shared\AVLib\SPTISRV.exe
        O23 - Service: Securom User Access for Windows 2000 and Windows XP a technology
        by Sony DADC - Unknown - C:\Program Files\Common
        Files\YDP\UserAccessManager\useraccess.exe
        O23 - Service: ZESOFT - Unknown - C:\WINDOWS\zeta.exe (file missing)
        O23 - Service: Remote Procedure Call (RPC) Helper - Unknown -
        C:\WINDOWS\javavp.exe (file missing)

        --
        co dalej?
        • Gość: piecyk gazowy Re: po Hijacku takie cuda: IP: *.tpnet.pl / *.tpnet.pl 09.02.05, 18:27
          Najlepiej robić to w trybie awaryjnym; podczas startu komputera zanim pojawi
          się czarna plansza Windows XP trzeba wcisnąć F8 i wybrać z menu.

          Odpal HT, wybierz Do a system scan, zaznacz poniższe pozycje i wciśnij Fix
          Checked:

          > R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
          > res://C:\WINDOWS\bfpmk.dll/sp.html#28129
          > R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
          about:bl
          > ank
          > R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
          > res://C:\WINDOWS\bfpmk.dll/sp.html#28129
          > R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
          > res://C:\WINDOWS\bfpmk.dll/sp.html#28129
          > R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
          > res://C:\WINDOWS\bfpmk.dll/sp.html#28129
          > R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
          > res://C:\WINDOWS\bfpmk.dll/sp.html#28129
          > R3 - Default URLSearchHook is missing

          > O2 - BHO: (no name) - {7DB11ADC-366B-476F-A044-6EDCAD101014} -
          > C:\WINDOWS\apihg32.dll

          > O4 - HKLM\..\Run: [WhenUSearchWHSE] C:\Program Files\WhenUSearch\whse.exe

          > O4 - HKLM\..\Run: [mfcwy32.exe] C:\WINDOWS\system32\mfcwy32.exe
          > O4 - HKLM\..\RunOnce: [mfcvs32.exe] C:\WINDOWS\mfcvs32.exe
          > O4 - HKLM\..\RunOnce: [sdkop32.exe] C:\WINDOWS\system32\sdkop32.exe
          > O4 - HKLM\..\RunOnce: [ipmg32.exe] C:\WINDOWS\system32\ipmg32.exe
          > O4 - HKLM\..\RunOnce: [mfcvj32.exe] C:\WINDOWS\system32\mfcvj32.exe

          > O4 - Global Startup: PowerPanel.lnk = ?

          UWAGA: jeśli ten PowerPanel jest OK, to nie wycinaj (ja nie wiem co to jest).

          > O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

          > O14 - IERESET.INF: START_PAGE_URL=www.sony.com/vaiopeople
          > O15 - Trusted Zone: *.awmdabest.com
          > O15 - Trusted Zone: *.frame.crazywinnings.com
          > O15 - Trusted Zone: *.awmdabest.com (HKLM)
          > O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
          > O15 - Trusted IP range: 206.161.125.149
          > O15 - Trusted IP range: (HKLM)

          > O18 - Protocol: textwareilluminatorbase - {CE5CD329-1650-414A-8DB0-
          4CBF72FAED87
          > }
          > - C:\WINDOWS\System32\textwareilluminatorbaseProtocol.dll

          > O23 - Service: ZESOFT - Unknown - C:\WINDOWS\zeta.exe (file missing)
          > O23 - Service: Remote Procedure Call (RPC) Helper - Unknown -
          > C:\WINDOWS\javavp.exe (file missing)


          Wklej nowego loga.
          • lunatica nowe 09.02.05, 18:52

            • Gość: piecyk gazowy Re: nowe IP: *.tpnet.pl / *.tpnet.pl 09.02.05, 18:58
              Byłoby głupio, gdybyśmy się nie spotkali z powodu jednej minuty, nie
              uważasz?

              Oczywiście, że uważam! ;-))))

              Do wyrzucenia:

              R3 - Default URLSearchHook is missing

              O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe

              O15 - Trusted Zone: *.frame.crazywinnings.com
              O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
              O16 - DPF: BPHOnl -

              Po restarcie znowu się pokazała wiadomość, że któregoś nie może nzlaęźć i żeby
              się upenić czy nazwa jest prawidłowa :-(

              Takimi pierdołami się na razie nie przejmuj. Odinstaluj jednego antywirusa i
              wklej nowego loga.
              • lunatica któregoś 09.02.05, 19:01
                konkretnego antivirusa odinstalować?
                • Gość: piecyk gazowy Re: któregoś IP: *.tpnet.pl / *.tpnet.pl 09.02.05, 19:10
                  Obojętne. Proponuję zostawić Avasta.
                  • lunatica jednego 09.02.05, 19:23
                    luka filewalkera nie mogę usunąć bo: "cannot load library. C:/Programi
                    Files/AvPersolna/AVUNINST.dill"

                    ja się chyba zastrzelę...
                    • Gość: piecyk gazowy Re: jednego IP: *.tpnet.pl / *.tpnet.pl 09.02.05, 19:26
                      W HT usuń wpis:

                      O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Program
                      Files\AVPersonal\AVWUPSRV.EXE
    • lunatica nowe 09.02.05, 19:11
      Logfile of HijackThis v1.99.0
      Scan saved at 19:09:37, on 2005-02-09
      Platform: Windows XP SP1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\System32\igfxtray.exe
      C:\WINDOWS\System32\hkcmd.exe
      C:\Program Files\Java\jre1.5.0\bin\jusched.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\WINDOWS\System32\ctfmon.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\Documents and Settings\Jan Moszczynski\Desktop\all\Gadu-Gadu\gg.exe
      C:\Program Files\PowerPanel\Program\PcfMgr.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\Program Files\AVPersonal\AVWUPSRV.EXE
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Common Files\YDP\UserAccessManager\useraccess.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\WINDOWS\System32\wuauclt.exe
      C:\Documents and Settings\Jan Moszczynski\Desktop\HijackThis.exe

      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
      C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
      C:\WINDOWS\System32\msdxm.ocx
      O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
      O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
      Files\Java\jre1.5.0\bin\jusched.exe
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash
      /minimized
      O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Documents and Settings\Jan
      Moszczynski\Desktop\all\Gadu-Gadu\gg.exe" /tray
      O4 - Global Startup: PowerPanel.lnk = ?
      O8 - Extra context menu item: E&xport to Microsoft Excel -
      res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
      C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
      O9 - Extra 'Tools' menuitem: Sun Java Console -
      {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
      Files\Java\jre1.5.0\bin\npjpi150.dll
      O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -
      C:\WINDOWS\System32\Shdocvw.dll
      O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
      O15 - Trusted Zone: *.frame.crazywinnings.com
      O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
      v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096577797984
      O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) -
      www.bph.pl/pi/components/SignActivX.cab
      O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) -
      sc.groups.msn.com/controls/FileUC/MsnUpld.cab
      O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
      www.pandasoftware.com/activescan/as5/asinst.cab
      O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
      skaner.mks.com.pl/SkanerOnline.cab
      O16 - DPF: {FF054BED-D972-4215-897E-726C3488DDBB} (sonyctl.sonycm) -
      supportcentral.sel.sony.com/sdccommon/download/sonyctl.CAB
      O17 - HKLM\System\CCS\Services\Tcpip\..\{E12FE358-9EF1-435B-9390-BE84D04219E0}:
      NameServer = 149.156.21.5,149.156.96.9
      O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Program Files\Alwil
      Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - Unknown - C:\Program Files\Alwil
      Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil
      Software\Avast4\ashMaiSv.exe
      O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Program
      Files\AVPersonal\AVWUPSRV.EXE
      O23 - Service: Sony SPTI Service - Sony Corporation - C:\Program Files\Common
      Files\Sony Shared\AVLib\SPTISRV.exe
      O23 - Service: Securom User Access for Windows 2000 and Windows XP a technology
      by Sony DADC - Unknown - C:\Program Files\Common
      Files\YDP\UserAccessManager\useraccess.exe

      --
      teraz nawet, żeby przewinąć stronę nie mogę tego zrobić "gładzikiem" tylko muszę
      klikać na dolną strzałkę... buuu...
      • Gość: piecyk gazowy Re: nowe IP: *.tpnet.pl / *.tpnet.pl 09.02.05, 19:24
        lunatica napisała:

        > --
        > teraz nawet, żeby przewinąć stronę nie mogę tego zrobić "gładzikiem" tylko
        musz
        > ę

        Wywaliliśmy niechcący sterownik. Sorry, nie znam wszystkiego. Odpal HT, wybierz
        Do a system scan, potem przycisk Config -> Backups, zaznacz:

        O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe

        i wciśnij Restore.

        Ściągnij: www.mvps.org/winhelp2002/DelDomains.inf i zapisz np. na
        pulpicie. Kliknij na nim PRAWYM przyciskiem myszy i wybierz Zainstaluj.

        Jeśli HT w sekcji O15 nic nie wykaże, to znaczy, że jest czysto.
        • lunatica O15 09.02.05, 19:41
          nic nie pokazało
          Logfile of HijackThis v1.99.0
          Scan saved at 19:40:29, on 2005-02-09
          Platform: Windows XP SP1 (WinNT 5.01.2600)
          MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

          Running processes:
          C:\WINDOWS\System32\smss.exe
          C:\WINDOWS\system32\winlogon.exe
          C:\WINDOWS\system32\services.exe
          C:\WINDOWS\system32\lsass.exe
          C:\WINDOWS\system32\svchost.exe
          C:\WINDOWS\System32\svchost.exe
          C:\WINDOWS\Explorer.EXE
          C:\WINDOWS\system32\spoolsv.exe
          C:\WINDOWS\System32\igfxtray.exe
          C:\WINDOWS\System32\hkcmd.exe
          C:\Program Files\Java\jre1.5.0\bin\jusched.exe
          C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
          C:\WINDOWS\System32\ctfmon.exe
          C:\Program Files\Messenger\msmsgs.exe
          C:\Documents and Settings\Jan Moszczynski\Desktop\all\Gadu-Gadu\gg.exe
          C:\Program Files\PowerPanel\Program\PcfMgr.exe
          C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
          C:\Program Files\Alwil Software\Avast4\ashServ.exe
          C:\WINDOWS\System32\svchost.exe
          C:\Program Files\Common Files\YDP\UserAccessManager\useraccess.exe
          C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
          C:\Program Files\Mozilla Firefox\firefox.exe
          C:\Documents and Settings\Jan Moszczynski\Desktop\HijackThis.exe

          O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
          C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
          O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
          C:\WINDOWS\System32\msdxm.ocx
          O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
          O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
          O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
          Files\Java\jre1.5.0\bin\jusched.exe
          O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
          O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
          O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
          O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
          O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash
          /minimized
          O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Documents and Settings\Jan
          Moszczynski\Desktop\all\Gadu-Gadu\gg.exe" /tray
          O4 - Global Startup: PowerPanel.lnk = ?
          O8 - Extra context menu item: E&xport to Microsoft Excel -
          res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
          O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
          C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
          O9 - Extra 'Tools' menuitem: Sun Java Console -
          {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
          Files\Java\jre1.5.0\bin\npjpi150.dll
          O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -
          C:\WINDOWS\System32\Shdocvw.dll
          O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
          O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
          v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096577797984
          O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) -
          www.bph.pl/pi/components/SignActivX.cab
          O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) -
          sc.groups.msn.com/controls/FileUC/MsnUpld.cab
          O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
          www.pandasoftware.com/activescan/as5/asinst.cab
          O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
          skaner.mks.com.pl/SkanerOnline.cab
          O16 - DPF: {FF054BED-D972-4215-897E-726C3488DDBB} (sonyctl.sonycm) -
          supportcentral.sel.sony.com/sdccommon/download/sonyctl.CAB
          O17 - HKLM\System\CCS\Services\Tcpip\..\{E12FE358-9EF1-435B-9390-BE84D04219E0}:
          NameServer = 149.156.21.5,149.156.96.9
          O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Program Files\Alwil
          Software\Avast4\aswUpdSv.exe
          O23 - Service: avast! Antivirus - Unknown - C:\Program Files\Alwil
          Software\Avast4\ashServ.exe
          O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil
          Software\Avast4\ashMaiSv.exe
          O23 - Service: Sony SPTI Service - Sony Corporation - C:\Program Files\Common
          Files\Sony Shared\AVLib\SPTISRV.exe
          O23 - Service: Securom User Access for Windows 2000 and Windows XP a technology
          by Sony DADC - Unknown - C:\Program Files\Common
          Files\YDP\UserAccessManager\useraccess.exe

          --
          ale nadal gładzik nie hula :-(
          aha, i czy mogę usunąć z pulpitu "DelDomeins" po zainstalowaniu i "backups"?
          • Gość: piecyk gazowy Re: O15 IP: *.neoplus.adsl.tpnet.pl 09.02.05, 19:49
            lunatica napisała:

            Log czysty.

            > ale nadal gładzik nie hula :-(

            A restartowałaś system?

            > aha, i czy mogę usunąć z pulpitu "DelDomeins" po zainstalowaniu i "backups"?

            DelDomeins możesz wyrzucić, z Backups bym się wstrzymał do czasu ustalenia czy
            gładzik działa czy nie. ;-)
            • lunatica Piecyku 09.02.05, 19:55
              wszystko wydaje się być OK - gładzik działa, ad-aware niczego nie znajduje...
              mam nadzieję, że tak pozostanie :-) dziękuję bardzo za pomoc, bardzo dziękuję.
              zaczynam używać teraz już tylko mozillifirefox i mozillithunderbirda :-) nie
              chcę więcej wiruchów!
              jeszcze raz wielkie dzięki!
              • Gość: piecyk gazowy Re: Piecyku IP: *.neoplus.adsl.tpnet.pl 09.02.05, 20:02
                Proszę bardzo.

                Samej siły Firefoksa i TB w obronie przed wirusami bym nie przeceniał.
                Koleżanka w ogóle nie używała IE, aż tu pewnego razu okazało się, że ma w
                systemie trochę śmieci, strona startowa itp. Okazało się, że zainstalowała P2P
                (eDonkeya), który zawierał w sobie spyware.

                Trzeba mieć uszy i oczy ciągle otwarte. ;-)

                Pozdrawiam! :-)
                • lunatica TB 09.02.05, 20:10
                  a czy znasz może jakiegoś specjalistę od tej poczty? z odbieraniem maili nie mam
                  problemów, ale wysyłać nie mogę...
                  • m.gregor Re: TB 09.02.05, 20:34
                    A jaki dostajesz komunikat? Gdzie jest konto?
                    • Gość: piecyk gazowy Re: TB IP: *.neoplus.adsl.tpnet.pl 09.02.05, 20:53
                      Prawdopodobnie chodzi o to:
                      www.sul.uni.lodz.pl/img/thunderbird_etap09.jpg

                      Cały proces konfiguracji (SSL prawdopodobnie Cię nie dotyczy; nie wiemy, gdzie
                      masz konto): www.sul.uni.lodz.pl/pomoc/programpocztowy2.php
                      • lunatica Dzięki! Ale to zostawię sobie na jutro... 09.02.05, 21:04
                        ...nie mam siły po walce z tymi wirusami :))
Pełna wersja