zarażona pamięć operacyjna i pełno wirusów błagam

IP: *.neoplus.adsl.tpnet.pl 14.03.05, 11:39
Witajcie, jak pewnie jedna z setek osób które tutaj piszą, opiszę moją
sytuację i bardzo proszę o pomoc..

Mam pełno zarażonych plików Windowsa.
Kiedy zainstalowałam Avasta (wcześniej też go miałam, ale klucz licencyjny
wygasł i trochę czasu komputer był bez ochrony...) wył bez przerwy, a ja
(polituj się Boże) klikałam "usuń plik na stałe" zamiast
na "kwarantannę" :/...
I teraz pytanie.

Czy windows będzie teraz miał jakieś błędy itp. po wykasowaniu części jego
plików? (były to głównie pliki typu ......dll.

Co mam zrobić jak Avast ciągle wyje a ja nie mogę dać pliku do kwarantanny
ani go usunąć bo jest jakaś odmowa dostępu? Wyłączyć ochronę Avasta?

A no i jeszcze dodam że pojawił mi się komunikat że pamięć operacyjna jest
zarażona...

Czy mam wkleić loga? Czy log i log z hijacka to to samo?

Naprawdę byłabym wdzięczna za pomoc, bo cudem jeszcze mam połączenie z
internetem przy tylu wirusach, choć już coraz częściej pojawiają mi się
komunikaty że "Nie można uruchomić strefy Neostrada Plus- część plików
została usunięta. Nie zostały zainstalowane wszystkie komponenty sieci" czy
jakoś tak. Ale ja chyba plików neostrady nie kasowałam... Boże ja już nic nie
wiem... Ale po kilku próbach połączenie z Neostradą mi wchodzi więc już nie
wiem CO ROBIĆ... Pomóżcie
    • Gość: Kolobos Re: zarażona pamięć operacyjna i pełno wirusów bł IP: *.warszawa.sdi.tpnet.pl 14.03.05, 12:06
      Na poczatek przeskanuj system:
      skaner.mks.com.pl
      nastepnie:
      www.pandasoftware.com/activescan/
      I wybieraj naprawe plikow o ile to mozliwe, podaj tez o jakiego virusa chodzi.
      Co do plikow systemowych to mozna je naprawic o ile masz plyte instalacyjna z
      windowsem, jak masz to wpisujesz w Start->Uruchom-> sfc /scannow ale to dopiero
      po usunieciu virusow.
      • Gość: nomanda Re: zarażona pamięć operacyjna i pełno wirusów bł IP: *.neoplus.adsl.tpnet.pl 14.03.05, 12:11
        słuchaj już na samym początku próbowałam z MKS-em ale kiedy akutalizuję bazę
        wirusów to pojawiają mi się jakieś błędy i nie mogę jej ściągnąć. Jak
        skanowałam ze starą bazą to owszem, wyświetlił wirusy ale nie mógł naprawić
        plików ani ich skasować...
        Co do wirusów (głównie trojany) to część z nich to:

        Worm.Krepper.J19
        Trojan.Krepper.Ae
        Adware.Ncase180
        Win32:Kreper-C

        i jeszcze inne, jeśli będzie potrzeba to mogę napisać wszystkie...
        Spróbuję jeszcze z tą pandą...
        • Gość: Kolobos Re: zarażona pamięć operacyjna i pełno wirusów bł IP: *.warszawa.sdi.tpnet.pl 14.03.05, 12:20
          To moze jednak wklej log z hijackthis :-)
          • Gość: nomanda Re: zarażona pamięć operacyjna i pełno wirusów bł IP: *.neoplus.adsl.tpnet.pl 14.03.05, 12:45
            Logfile of HijackThis v1.99.1
            Scan saved at 12:39:27, on 2005-03-14
            Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
            MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

            Running processes:
            C:\WINDOWS\System32\smss.exe
            C:\WINDOWS\system32\winlogon.exe
            C:\WINDOWS\system32\services.exe
            C:\WINDOWS\system32\lsass.exe
            C:\WINDOWS\system32\svchost.exe
            C:\WINDOWS\System32\svchost.exe
            C:\WINDOWS\Explorer.EXE
            C:\WINDOWS\system32\spoolsv.exe
            C:\PROGRA~1\WANADOO\TaskbarIcon.exe
            C:\Program Files\ICQLite\ICQLite.exe
            C:\Program Files\Winamp\winampa.exe
            C:\Program Files\QuickTime\qttask.exe
            C:\WINDOWS\system32\cpj4irl75f2e7cthd.exe
            D:\avast\aswUpdSv.exe
            C:\Program Files\Internet Optimizer\optimize.exe
            C:\WINDOWS\system32\ctfmon.exe
            C:\Program Files\Messenger\msmsgs.exe
            D:\avast\ashServ.exe
            C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
            C:\Program Files\Wanadoo\ComComp.exe
            C:\Program Files\Wanadoo\EspaceWanadoo.exe
            C:\Program Files\Wanadoo\Watch.exe
            C:\Program Files\Internet Explorer\IEXPLORE.EXE
            C:\WINDOWS\system32\wuauclt.exe
            C:\WINDOWS\system32\wscntfy.exe
            D:\HijackThis.exe

            R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL =
            letgohome.com/sp.htm?id=33464
            R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
            letgohome.com/sp.htm?id=33464
            R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
            letgohome.com/hp.htm?id=33464
            R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
            letgohome.com/hp.htm?id=33464
            R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
            letgohome.com/hp.htm?id=33464
            R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada
            Plus wita Cie w Internecie
            R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
            R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no
            file)
            O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} -
            C:\WINDOWS\system32\75626K~2.DLL
            O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} -
            C:\Program Files\ICQToolbar\toolbaru.dll
            O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
            O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
            O4 - HKLM\..\Run: [MKS_MENU] C:\Program Files\MKS\Bin\mks_menu.exe
            O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
            O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
            O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
            atboottime
            O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\system32\cpj4irl75f2e7cthd.exe
            O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
            O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet
            Optimizer\optimize.exe"
            O4 - HKLM\..\Run: [avast!] D:\avast\ashDisp.exe
            O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
            O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
            O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840
            \dslmon.exe
            O4 - Global Startup: Microsoft Office.lnk = C:\Microsoft Office\Office\OSA9.EXE
            O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program
            Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
            O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
            C:\WINDOWS\system32\shdocvw.dll
            O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
            00401C608501} - C:\WINDOWS\system32\shdocvw.dll
            O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program
            Files\ICQLite\ICQLite.exe
            O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -
            C:\Program Files\ICQLite\ICQLite.exe
            O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
            C:\Program Files\Messenger\msmsgs.exe
            O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
            00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
            O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} -
            static.windupdates.com/cab/DownloadAccess/ie/bridge-c10.cab
            O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) -
            xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
            O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
            www.pandasoftware.com/activescan/as5/asinst.cab
            O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
            skaner.mks.com.pl/SkanerOnline.cab
            O17 - HKLM\System\CCS\Services\Tcpip\..\{CFC6574A-91FF-424D-BA12-71868F165AE3}:
            NameServer = 194.204.152.34 217.98.63.164
            O20 - AppInit_DLLs: 68nl7s43xgxccdll.dll
            O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
            D:\avast\aswUpdSv.exe
            O23 - Service: avast! Antivirus - Unknown owner - D:\avast\ashServ.exe
            O23 - Service: avast! Mail Scanner - Unknown owner -
            D:\avast\ashMaiSv.exe" /service (file missing)
            O23 - Service: avast! Web Scanner - Unknown owner -
            D:\avast\ashWebSv.exe" /service (file missing)
            O23 - Service: MkS_Vir Monitor (MksVirMonSvc) - Unknown owner - C:\Program
            Files\MKS\Bin\mksmonsv.exe (file missing)


            No to wklejam... A no i jeszcze uruchamia mi się ta strona startowa
            letgohome.com/sp.htm?id=33464 i nie mogę jej zmienić, potem zmienia się
            na adres:
            69.31.80.128/enter.htm?id=33464 i często wskakuje w inne okienka...



            • Gość: Kolobos Re: zarażona pamięć operacyjna i pełno wirusów bł IP: *.warszawa.sdi.tpnet.pl 14.03.05, 12:58
              Sciagnij sobie CWS Shredder oraz SpyBot S&D i przeskanuj system przy ich
              pomocy, przed skanowaniem zamknij wszystkie okna przegladarki.
              To powinno wiekszosc usunac, a to co zostanie usun przy pomocy hijackthis, a
              beda to te wpisy:

              R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = letgohome.com/sp.htm?
              id=33464
              R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
              letgohome.com/sp.htm?id=33464
              R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
              letgohome.com/hp.htm?id=33464
              R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
              letgohome.com/hp.htm?id=33464
              R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
              letgohome.com/hp.htm?id=33464
              R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada
              Plus wita Cie w Internecie <- tytul okna jest zbedny, tez mozna usunac
              R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no
              file)
              O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} -
              C:\WINDOWS\system32\75626K~2.DLL
              O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe <- Winamp
              Agenta tez mozna wylaczyc (to ta ikonka na pasku) chyba, ze uzywasz to zostaw.
              O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
              atboottime <- to tez mozna wylaczyc
              O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\system32\cpj4irl75f2e7cthd.exe
              To odinstaluj z dodaj-usun:
              O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
              o ile tam jest.
              To tez odinstaluj w dodaj-usun:
              O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet
              Optimizer\optimize.exe"
              A na przyszlosc nie instaluj takich programow.
              O4 - Global Startup: Microsoft Office.lnk = C:\Microsoft Office\Office\OSA9.EXE
              <- Ose tez mozna wylaczyc, nie potrzebna do prawidlowego dzialania office'a
              O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
              C:\WINDOWS\system32\shdocvw.dll
              O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
              00401C608501} - C:\WINDOWS\system32\shdocvw.dll
              O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
              C:\Program Files\Messenger\msmsgs.exe
              O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
              00C04F795683} - C:\Program Files\Messenger\msmsgs.exe <- te przyciski tez sa
              zbedne
              O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} -
              static.windupdates.com/cab/DownloadAccess/ie/bridge-c10.cab
              O20 - AppInit_DLLs: 68nl7s43xgxccdll.dll
              O23 - Service: avast! Mail Scanner - Unknown owner -
              D:\avast\ashMaiSv.exe" /service (file missing)
              O23 - Service: MkS_Vir Monitor (MksVirMonSvc) - Unknown owner - C:\Program
              Files\MKS\Bin\mksmonsv.exe (file missing)

              I fix checked, uruchom ponownie komputer i zrob nowy log.
              Zainstaluj sobie tez SpywareBlaster i wlacz ochrone przegladarki.
              Programy znajdziesz na google bez problemu :-)
              • Gość: nomanda Re: zarażona pamięć operacyjna i pełno wirusów bł IP: *.neoplus.adsl.tpnet.pl 14.03.05, 13:01
                Wielkie dzięki!!! Zrobię tak jak mówisz, a jakby co to wkleję tu jeszcze loga :)
                • Gość: aq Re: zarażona pamięć operacyjna i pełno wirusów bł IP: *.unch.unc.edu 14.03.05, 13:20
                  Zainstaluj firewalla bo przy tej neostradzie to mozesz robic jak zombi w necie.
    • Gość: nomanda Re: zarażona pamięć operacyjna i pełno wirusów bł IP: *.neoplus.adsl.tpnet.pl 14.03.05, 15:17
      ok, zrobiłam wszysko tak jak Kolobos mówiłeś, ale Avast nadal mi wyje że mam
      trojana Win32.Kreper-C no i ta strona letgohome mi się ciągle włącza... Acha,
      no i jak kasowałam to na HijackThis, to w pewnym momencie pojawił mi się error,
      że nie można części usunąć... Próbowałam jeszcze 2 razy wykasować tą część co
      się nie dało, ale ciągle ten error... Oto log:

      Logfile of HijackThis v1.99.1
      Scan saved at 15:13:39, on 2005-03-14
      Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\PROGRA~1\WANADOO\TaskbarIcon.exe
      C:\Program Files\ICQLite\ICQLite.exe
      D:\avast\ashDisp.exe
      D:\avast\aswUpdSv.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Messenger\msmsgs.exe
      D:\avast\ashServ.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\WINDOWS\system32\wscntfy.exe
      D:\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
      letgohome.com/hp.htm?id=33464
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
      letgohome.com/hp.htm?id=33464
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
      letgohome.com/hp.htm?id=33464
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
      O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} -
      C:\WINDOWS\system32\75626K~1.DLL
      O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} -
      C:\Program Files\ICQToolbar\toolbaru.dll
      O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
      O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
      O4 - HKLM\..\Run: [MKS_MENU] C:\Program Files\MKS\Bin\mks_menu.exe
      O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
      O4 - HKLM\..\Run: [avast!] D:\avast\ashDisp.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
      O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program
      Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
      O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program
      Files\ICQLite\ICQLite.exe
      O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -
      C:\Program Files\ICQLite\ICQLite.exe
      O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) -
      xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
      O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
      www.pandasoftware.com/activescan/as5/asinst.cab
      O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
      skaner.mks.com.pl/SkanerOnline.cab
      O20 - AppInit_DLLs: yd6hzb3nekpfkbll.dll.dll.dll.dll.dll.dll.dll
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
      D:\avast\aswUpdSv.exe
      O23 - Service: avast! Antivirus - Unknown owner - D:\avast\ashServ.exe
      O23 - Service: avast! Web Scanner - Unknown owner -
      D:\avast\ashWebSv.exe" /service (file missing)
      O23 - Service: MkS_Vir Monitor (MksVirMonSvc) - Unknown owner - C:\Program
      Files\MKS\Bin\mksmonsv.exe (file missing)


      Z góry dzięki za sprawdzenie :)
      • Gość: gosc Re: zarażona pamięć operacyjna i pełno wirusów bł IP: *.neoplus.adsl.tpnet.pl 14.03.05, 15:38
        Co do neostrady,to jedyny znany mi sposób:na całkowicie czystym komputerze
        utworzyć punkt przywracania systemu i wracać do niego-ale to sprzeczne z
        usuwaniem wirusów-trzeba je usuwac przy wyłączonym przywracaniu systemu w
        trybie awaryjnym a jeszcze lepiej w trybie awaryjnym jako administrator tylko
        F8 wiersz polecenia.
      • Gość: Kolobos Re: zarażona pamięć operacyjna i pełno wirusów bł IP: *.warszawa.sdi.tpnet.pl 14.03.05, 18:54
        Zapewne te dwa aktywuja ta strone startowa:
        O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} -
        C:\WINDOWS\system32\75626K~1.DLL
        O20 - AppInit_DLLs: yd6hzb3nekpfkbll.dll.dll.dll.dll.dll.dll.dll

        Sciagnij to:
        www.downloads.subratam.org/KillBox.zip
        Rozpakuj, uruchom i odszukaj ten plik:
        yd6hzb3nekpfkbll.dll.dll.dll.dll.dll.dll.dll wybierz delete on reboot
        tak samo zrob z C:\WINDOWS\system32\75626K~1.DLL

        To powinno usunac te pliki, jak juz killbox usunie (o ile to zrobi) to uruchom
        CWS Shredder przy wylaczonej przegladarce i niech usnie co znajdzie, nastepnie
        sprawdz czy w hijackthis dalej masz te dwa wpisy i strone startowa.
        Jak tak to poczytaj to:
        www.searchengines.pl/phpbb203/index.php?showtopic=14185&st=0&#entry87938
        Zainstaluj sobie tez moze MS Antispyware i zobacz czy on cos poradzi:
        download.microsoft.com/download/8/1/5/815d2d60-49b5-44dc-ae35-
        fca2f2c6f0cc/MicrosoftAntiSpywareInstall.exe
        • Gość: nomanda Re: zarażona pamięć operacyjna i pełno wirusów bł IP: *.neoplus.adsl.tpnet.pl 14.03.05, 21:59
          > Zapewne te dwa aktywuja ta strone startowa:
          > O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} -
          > C:\WINDOWS\system32\75626K~1.DLL
          > O20 - AppInit_DLLs: yd6hzb3nekpfkbll.dll.dll.dll.dll.dll.dll.dll

          Już te wpisy skasowałam i nie ma ich już w hijackthis :D
          Ta strona startowa już mi się nie włącza (hurra!).
          Wirusy są jednak nadal :( ale jakoś je spróbuję pokasować.
          Niepokoi mnie jednak to że w logu z hijacka dalej pokazuje się ta okropna
          strona letgohome, pomimo tego że już się nie włącza jako strona startowa...

          R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
          letgohome.com/hp.htm?id=33464
          R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
          letgohome.com/hp.htm?id=33464
          Nie wiem co o tym myśleć...
          • Gość: nomanda Re: zarażona pamięć operacyjna i pełno wirusów bł IP: *.neoplus.adsl.tpnet.pl 14.03.05, 22:02
            Ale w każdym razie BARDZO DZIĘKUJĘ CI ZA POMOC!!! Teraz już jest 100 razy
            lepiej niż było wcześniej! Jeszcze raz dziękuję!!!
            • Gość: Kolobos Re: zarażona pamięć operacyjna i pełno wirusów bł IP: *.warszawa.sdi.tpnet.pl 14.03.05, 22:12
              Wklej jeszcze raz log z hijackthis ;-)

              A co do virusow to wylacz przywracanie systemu o tak:
              www.gdata.pl/pl/support/avk12_pyt6.html
              Uruchom windows w trybie awaryjnym (F8 podczas startu komputera i tryb awaryjny)
              Sciagnij i zainstaluj antyvirusa -> www.free-av.com/ po instalacji
              bedzie skanowal caly dysk, jak virusy dalej beda to jeszcze tym przeskanuj:

              skaner.mks.com.pl/
              www.pandasoftware.com/activescan/pol/activescan_principal.htm
              www.bitdefender.com/scan/licence.php
              www.ravantivirus.com/scan/
              housecall.trendmicro.com/housecall/start_corp.asp
              us.mcafee.com/root/mfs/default.asp
              To powinno wszystko zalatwic ;-)
              • Gość: nomanda Re: zarażona pamięć operacyjna i pełno wirusów bł IP: *.neoplus.adsl.tpnet.pl 14.03.05, 22:25
                Logfile of HijackThis v1.99.1
                Scan saved at 22:20:29, on 2005-03-14
                Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
                MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

                Running processes:
                C:\WINDOWS\System32\smss.exe
                C:\WINDOWS\system32\winlogon.exe
                C:\WINDOWS\system32\services.exe
                C:\WINDOWS\system32\lsass.exe
                C:\WINDOWS\system32\svchost.exe
                C:\WINDOWS\System32\svchost.exe
                C:\WINDOWS\Explorer.EXE
                C:\WINDOWS\system32\spoolsv.exe
                D:\avast\aswUpdSv.exe
                C:\PROGRA~1\WANADOO\TaskbarIcon.exe
                C:\Program Files\ICQLite\ICQLite.exe
                D:\avast\ashDisp.exe
                C:\WINDOWS\system32\ctfmon.exe
                C:\Program Files\Messenger\msmsgs.exe
                C:\Program Files\Gadu-Gadu\gg.exe
                D:\avast\ashServ.exe
                D:\Nowy folder\SpySub.exe
                D:\avast\ashWebSv.exe
                C:\WINDOWS\system32\wuauclt.exe
                D:\HijackThis.exe

                R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
                letgohome.com/hp.htm?id=33464
                R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
                letgohome.com/hp.htm?id=33464
                R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
                O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} -
                C:\Program Files\ICQToolbar\toolbaru.dll
                O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
                O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
                O4 - HKLM\..\Run: [MKS_MENU] C:\Program Files\MKS\Bin\mks_menu.exe
                O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
                O4 - HKLM\..\Run: [avast!] D:\avast\ashDisp.exe
                O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\system32\cpj4irl75f2e7cthd.exe
                O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
                O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
                O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
                O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
                O4 - Global Startup: SpySubtract.lnk = D:\Nowy folder\SpySub.exe
                O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program
                Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
                O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program
                Files\ICQLite\ICQLite.exe
                O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -
                C:\Program Files\ICQLite\ICQLite.exe
                O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) -
                xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
                O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
                www.pandasoftware.com/activescan/as5/asinst.cab
                O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
                skaner.mks.com.pl/SkanerOnline.cab
                O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
                D:\avast\aswUpdSv.exe
                O23 - Service: avast! Antivirus - Unknown owner - D:\avast\ashServ.exe
                O23 - Service: avast! Web Scanner - Unknown owner -
                D:\avast\ashWebSv.exe" /service (file missing)
                O23 - Service: MkS_Vir Monitor (MksVirMonSvc) - Unknown owner - C:\Program
                Files\MKS\Bin\mksmonsv.exe (file missing)

                Przeskanuję jeszcze tymi antywirusami a co do tego trybu awaryjnego to musiałam
                już go wcześniej włączać jak usuwałam te 2 wpisy z hijackthis bo inaczej się
                nie dało. Mam nadzieję, że wszystko dzięki tym skanerom będzie usunięte, choć
                jak na razie Avast już mi nie wyje :D
                • Gość: Kolobos Re: zarażona pamięć operacyjna i pełno wirusów bł IP: *.warszawa.sdi.tpnet.pl 14.03.05, 22:41
                  Jednak ten jeszcze jest:
                  O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\system32\cpj4irl75f2e7cthd.exe
                  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
                  letgohome.com/hp.htm?id=33464
                  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
                  letgohome.com/hp.htm?id=33464

                  Pewnie jakis plik dll podczepil sie pod jakis proces systemowy i ukryl, dlatego
                  go nie widac w hijackthis.
                  Sprobuj jeszcze raz w trybie awaryjnym uusnac to exe oraz uruchomic CWS
                  Shredder i sprawdzic czy usunie.
                  Wklej moze jeszcze log z tego:
                  www.silentrunners.org/Silent%20Runners.vbs
                  • Gość: nomanda Re: zarażona pamięć operacyjna i pełno wirusów bł IP: *.neoplus.adsl.tpnet.pl 14.03.05, 22:51
                    > O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\system32\cpj4irl75f2e7cthd.exe
                    > R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
                    > letgohome.com/hp.htm?id=33464
                    > R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
                    > letgohome.com/hp.htm?id=33464

                    Te 3 wpisy powyżej mam usunąć przez Hijackthis czy "ręcznie" tylko ten jeden
                    C:\WINDOWS\system32\cpj4irl75f2e7cthd.exe ???

                    A ten CWS Shredder w ogóle u mnie nic nie wykrywa. Od początku nic nie wykrywał.
                    • Gość: Kolobos Re: zarażona pamięć operacyjna i pełno wirusów bł IP: *.warszawa.sdi.tpnet.pl 14.03.05, 22:56
                      O tego masz -> cwshredder.net/bin/CWShredder.exe ?

                      Usun wpisy przy pomocy hijackthis w trybie awaryjnym, a exe skasuj i tak pewnie
                      zrobi sie nowe :(

                      • Gość: nomanda Re: zarażona pamięć operacyjna i pełno wirusów bł IP: *.neoplus.adsl.tpnet.pl 14.03.05, 23:22
                        > O tego masz -> cwshredder.net/bin/CWShredder.exe ?
                        tak, właśnie tego

                        Log z Hijackthis:

                        Logfile of HijackThis v1.99.1
                        Scan saved at 23:17:00, on 2005-03-14
                        Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
                        MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

                        Running processes:
                        C:\WINDOWS\System32\smss.exe
                        C:\WINDOWS\system32\winlogon.exe
                        C:\WINDOWS\system32\services.exe
                        C:\WINDOWS\system32\lsass.exe
                        C:\WINDOWS\system32\svchost.exe
                        C:\WINDOWS\System32\svchost.exe
                        C:\WINDOWS\system32\spoolsv.exe
                        C:\WINDOWS\Explorer.EXE
                        D:\avast\aswUpdSv.exe
                        D:\avast\ashServ.exe
                        C:\PROGRA~1\WANADOO\TaskbarIcon.exe
                        C:\Program Files\ICQLite\ICQLite.exe
                        D:\avast\ashDisp.exe
                        C:\WINDOWS\system32\ctfmon.exe
                        C:\Program Files\Messenger\msmsgs.exe
                        D:\Nowy folder\SpySub.exe
                        D:\avast\ashWebSv.exe
                        C:\WINDOWS\system32\wuauclt.exe
                        D:\HijackThis.exe

                        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
                        O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} -
                        C:\Program Files\ICQToolbar\toolbaru.dll
                        O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
                        O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
                        O4 - HKLM\..\Run: [MKS_MENU] C:\Program Files\MKS\Bin\mks_menu.exe
                        O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
                        O4 - HKLM\..\Run: [avast!] D:\avast\ashDisp.exe
                        O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
                        O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
                        O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
                        O4 - Global Startup: SpySubtract.lnk = D:\Nowy folder\SpySub.exe
                        O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program
                        Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
                        O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program
                        Files\ICQLite\ICQLite.exe
                        O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -
                        C:\Program Files\ICQLite\ICQLite.exe
                        O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) -
                        xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
                        O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
                        www.pandasoftware.com/activescan/as5/asinst.cab
                        O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
                        skaner.mks.com.pl/SkanerOnline.cab
                        O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
                        D:\avast\aswUpdSv.exe
                        O23 - Service: avast! Antivirus - Unknown owner - D:\avast\ashServ.exe
                        O23 - Service: avast! Web Scanner - Unknown owner -
                        D:\avast\ashWebSv.exe" /service (file missing)
                        O23 - Service: MkS_Vir Monitor (MksVirMonSvc) - Unknown owner - C:\Program
                        Files\MKS\Bin\mksmonsv.exe (file missing)



                        • Gość: nomanda Re: zarażona pamięć operacyjna i pełno wirusów bł IP: *.neoplus.adsl.tpnet.pl 14.03.05, 23:22
                          I jeszcze log z tego drugiego programu:

                          "Silent Runners.vbs", revision 32, www.silentrunners.org/
                          Operating System: Windows XP SP2
                          Output limited to non-default values, except where indicated by "{++}"


                          Startup items buried in registry:
                          ---------------------------------

                          HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
                          "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
                          "MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS]
                          "Gadu-Gadu" = ""C:\Program Files\Gadu-Gadu\gg.exe" /tray" ["sms-express.com"]

                          HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
                          "WOOWATCH" = "C:\PROGRA~1\WANADOO\Watch.exe" ["France Télécom R&D"]
                          "WOOTASKBARICON" = "C:\PROGRA~1\WANADOO\TaskbarIcon.exe" ["France Télécom R&D"]
                          "MKS_MENU" = "C:\Program Files\MKS\Bin\mks_menu.exe" [file not found]
                          "ICQ Lite" = "C:\Program Files\ICQLite\ICQLite.exe -minimize" ["ICQ Ltd."]
                          "avast!" = "D:\avast\ashDisp.exe" [null data]

                          HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
                          "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania
                          wyświetlania"
                          -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
                          "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"
                          -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll"
                          ["Hilgraeve, Inc."]
                          "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon
                          Handler"
                          -> {CLSID}\InProcServer32\(Default) = "C:\MICROS~1\Office\OLKFSTUB.DLL" [MS]
                          "{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
                          -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL"
                          ["WinZip Computing, Inc."]
                          "{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
                          -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL"
                          ["WinZip Computing, Inc."]
                          "{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
                          -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\WZSHLSTB.DLL"
                          ["WinZip Computing, Inc."]
                          "{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
                          -> {CLSID}\InProcServer32\(Default) = "D:\avast\ashShell.dll" ["ALWIL
                          Software"]
                          "{FA010552-4A27-4cb1-A1BB-3E2D697F1639}" = "SpySubtract Shell Extension"
                          -> {CLSID}\InProcServer32\(Default) = "D:\Nowy folder\sshook.dll"
                          ["InterMute, Inc."]


                          Enabled Screen Saver:
                          ---------------------

                          HKCU\Control Panel\Desktop\
                          "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


                          Startup items in "Malina" & "All Users" startup folders:
                          --------------------------------------------------------

                          C:\Documents and Settings\All Users\Menu Start\Programy\Autostart
                          "SpySubtract" -> shortcut to: "D:\Nowy folder\SpySub.exe -autostart"
                          ["InterMute, Inc."]


                          Running Services (Display Name, Service Name, Path {Service DLL}):
                          ------------------------------------------------------------------

                          avast! Antivirus, avast! Antivirus, ""D:\avast\ashServ.exe"" [null data]
                          avast! iAVS4 Control Service, aswUpdSv, ""D:\avast\aswUpdSv.exe"" [null data]
                          avast! Web Scanner, avast! Web Scanner, ""D:\avast\ashWebSv.exe" /service"
                          ["ALWIL Software"]


                          Winsock2 Service Provider DLLs:
                          -------------------------------

                          Namespace Service Providers

                          HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5
                          \Catalog_Entries\ {++}
                          000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
                          000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
                          000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

                          Transport Service Providers

                          HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9
                          \Catalog_Entries\ {++}
                          0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
                          %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13
                          %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


                          ----------
                          This report excludes default entries except where indicated.
                          To see *everywhere* the script checks and *everything* it finds,
                          launch it from a command prompt or a shortcut with the -all parameter.
                          ----------
                          • Gość: Kolobos Re: zarażona pamięć operacyjna i pełno wirusów bł IP: *.warszawa.sdi.tpnet.pl 14.03.05, 23:34
                            Juz jest wszystko ok, jedyne co moznaby zrobic to odinstalowac MKS'a i Avasta,
                            a nastepnie przeinstalowac avast'a bo chyba nie chodzi prawidlowo.Oraz usunac
                            aplikacje od TPSA ta do neostrady i zainstlaowac sam modem i sterowniki do
                            niego opis co i jak ustawic jest tutaj:
                            neostrada.info/instalacja.php?id=sagem <- do modemu Sagem
                            neostrada.info/instalacja.php?id=speedtouch <- do SpeedTouch
                            Ale to juz jak chcesz.

                            Mam nadzieje, ze spyware i trojany juz nie wroca :-)
                            • Gość: nomanda Re: zarażona pamięć operacyjna i pełno wirusów bł IP: *.neoplus.adsl.tpnet.pl 14.03.05, 23:39
                              Dzięki!!!!!!!!!!! Gdyby nie ty to pewnie czekałoby mnie formatowanie dysku
                              (które już z kolei :D) i przeinstalowywanie windowsa... A tak to obyło się bez
                              tego i wszystko działa ok. Naprawdę się cieszę :D
Pełna wersja