moj pierwszy log

IP: *.internetdsl.tpnet.pl 06.04.05, 22:00
witam
mam jakiegos syfa w sytemie ktorego nie moge sie pozbyc, na c: zrobil mi
katalog DESKTOP i trzyma tam aktualny pulpit, nie dziala prawy klawisz myszy
i wogole mam juz dosc tego winshita, w najblizszych dniach instaluje linuxa i
wierze ze przynajniej czesc moich problemow sie skonczy, ale niestety osoby
ktore kozystaja z mojego komputera musza pracowac na windzie, wiec prosba
sprawdzenie co jest nie tak i powiedzzie mi co mam dalej robic bo to moj
pierwszy raz...:)


Logfile of HijackThis v1.99.1
Scan saved at 21:48:55, on 05-04-06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWSS\SYSTEM\KERNEL32.DLL
C:\WINDOWSS\SYSTEM\MSGSRV32.EXE
C:\WINDOWSS\SYSTEM\MPREXE.EXE
C:\WINDOWSS\SYSTEM\mmtask.tsk
C:\WINDOWSS\SYSTEM\PSTORES.EXE
C:\WINDOWSS\SYSTEM\DDHELP.EXE
C:\WINDOWSS\EXPLORER.EXE
C:\WINDOWSS\SYSTEM\INTERNAT.EXE
C:\WINDOWSS\TASKMON.EXE
C:\WINDOWSS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWSS\SYSTEM\SYSTRAY.EXE
D:\IREK\GADU-GADU\GG.EXE
C:\PROGRAM FILES\EMULE\EMULE.EXE
C:\PROGRAM FILES\HP OFFICEJET SERIES 700\BIN\HPOSTR03.EXE
C:\PROGRAM FILES\PSI\PSI.EXE
C:\WINDOWSS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\HP OFFICEJET SERIES 700\BIN\HPOVDX03.EXE
C:\PROGRAM FILES\WINAMP\WINAMP.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
E:\MOJE\HIJACKTHIS\HIJACKTHIS.EXE

O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pi..to.biz
O1 - Hosts: 127.0.0.3 pi..to.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O1 - Hosts: 127.0.0.3 www.awmcash.biz
O1 - Hosts: 127.0.0.3 awmcash.biz
O1 - Hosts: 127.0.0.3 buldog-stats.com
O1 - Hosts: 127.0.0.3 www.buldog-stats.com
O1 - Hosts: 127.0.0.3 fregat.drocherway.com
O1 - Hosts: 127.0.0.3 slutmania.biz
O1 - Hosts: 127.0.0.3 www.slutmania.biz
O1 - Hosts: 127.0.0.3 toolbarpartner.com
O1 - Hosts: 127.0.0.3 www.toolbarpartner.com
O1 - Hosts: 127.0.0.3 www.megapornix.com
O1 - Hosts: 127.0.0.3 megapornix.com
O1 - Hosts: 127.0.0.3 www.sp2fucked.biz
O1 - Hosts: 127.0.0.3 sp2fucked.biz
O1 - Hosts: 127.0.0.3 greg-tut.com
O1 - Hosts: 127.0.0.3 www.greg-tut.com
O1 - Hosts: 127.0.0.3 nylonsexy.com
O1 - Hosts: 127.0.0.3 www.nylonsexy.com
O1 - Hosts: 127.0.0.3 vparivalka.com
O1 - Hosts: 127.0.0.3 www.vparivalka.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Program
Files\GetRight\xx2gr.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWSS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWSS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWSS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe
powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
C:\WINDOWSS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Zasobnik systemowy] SysTray.Exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe
powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [Gadu-Gadu] "D:\IREK\GADU-GADU\GG.EXE" /tray
O4 - HKCU\..\Run: [eMuleAutoStart] C:\PROGRAM FILES\EMULE\EMULE.EXE -AutoStart
O4 - Startup: HP OfficeJet Series 700 StartUp.lnk = C:\Program Files\HP
OfficeJet Series 700\bin\HPOstr03.exe
O4 - Startup: Psi.lnk = C:\Program Files\Psi\psi.exe
O8 - Extra context menu item: Download with GetRight - C:\Program
Files\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Program
Files\GetRight\GRbrowse.htm
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} -
static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c293.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer
Class) - www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

    • Gość: Kolobos Re: moj pierwszy log IP: *.warszawa.sdi.tpnet.pl 06.04.05, 22:13
      Co do tapety, prawoklika itd to zastosuj sie do tego:
      www.searchengines.pl/phpbb203/index.php?showtopic=31936
      Przy pomocy hijackthis usun wszystkie wpisy O1 oraz O16 - DPF: {15AD6789-CDB4-
      47E1-A9DA-992EE8E6BAD6} - static.windupdates.com/cab/6247971CanadaInc/ie/bridge-
      c293.cab

      I Fix Checked, jak juz wszystko usuniesz to uruchom ponownie komputer i wklej
      nowy log.
    • Gość: jasnoniebieski Re: moj pierwszy log IP: *.internetdsl.tpnet.pl 06.04.05, 22:28
      witam ponownie
      wiec po odznaczeniu od 01 - 016 i resecie kompa po wlaczeniu skanowania nic sie
      nie wyswietla wiec nie dostaje tez zadnego loga. Adres strony ktora podales nie
      dziala, tzn wygole jej nie wyswietla, nie pomaga odswiazanie.
      Pozdrawiam
      jasnoniebieski
      • Gość: Kolobos Re: moj pierwszy log IP: *.warszawa.sdi.tpnet.pl 06.04.05, 22:38
        Jak to sie nie wyswietla?

        Co do strony, ktora podalem to jest na niej to:
        Cytat:
        Sprawy się pokomplikowały i tapeta SlimShield opisana szczegółowo TU, pomimo iż
        w logu Hijacka pokazuje te same trójowe wpisy, zmieniła taktykę.


        1. Tapeta oferuje zamiast SlimShield inny lewy produkt znany ze starych
        czarnych tapet SmartSecurity:



        2. Zostaje zablokowany prawy klik tak na Pulpit jak i w exporerze.

        3. Zmiana tapety na inną jest zupełnie niemożliwa.

        4. Z Pulpitu znikają wasze ikony lub ulegają duplikacji. Tapeta bowiem zmienia
        w rejestrze ścieżkę do folderu Pulpitu do swojego własnego folderu C:\Desktop.


        USUWANIE:


        1. Na początku oczyścić log z HijackThis z "trójek" tak jak to opisane w
        instrukcji usuwania SlimShield.

        2. Odblokować prawy klik poprzez edycję rejestru. Proszę otworzyć Notatnik i
        wkleić w nim to:

        REGEDIT4

        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]

        "NoViewContextMenu"=dword:00000000

        [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
        "NoViewContextMenu"=dword:00000000

        [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
        "NoSetTaskbar"=dword:00000000

        [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
        "NoSaveSettings"=dword:00000000

        Plik >>> Zapisz jako >>> ustaw rozszerzenie na Wszystkie pliki zamiast txt >>>
        zapisz pod nazwą z rozszerzeniem *.REG np. FIX.REG >>> kliknij podwójnie
        zrobiony plik i potwierdź.

        Po tej akcji odblokuje się na prawy klik ale nadal we Właściwościach ekranu
        niemożność zmiany:




        3. Skorygować ścieżkę do prawidłowego folderu Pulpitu by przywrócić własne
        ikony:


        Start >>> Uruchom >>> regedit i:


        W kluczach:

        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
        Folders
        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell
        Folders

        HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
        Folders
        HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\User
        Shell Folders

        HKEY_USERS\S-1-5-21-zmienne
        numerki\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
        HKEY_USERS\S-1-5-21-zmienne
        numerki\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

        Klikacie podwójnie wartość Desktop i wpisujecie:


        Windows 2000/XP/2003:

        %USERPROFILE%\Desktop (Windows ENG) lub %USERPROFILE%\Pulpit (Windows PL)

        Windows 98/Me:

        %WinDir%\Desktop (Windows ENG) lub %WinDir%\Pulpit (Windows PL)



        W kluczach:

        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell
        Folders
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User
        Shell Folders

        Klikacie podwójnie wartość Common Desktop i wpisujecie:

        Windows 2000/XP/2003:

        %ALLUSERSPROFILE%\Desktop (Windows ENG) lub %ALLUSERSPROFILE%\Pulpit (Windows
        PL)

        Zauważcie, że jest to "ALL". Jeśli się tu pomylicie dostaniecie duplikowanie
        ikon w nieskończoność!



        4. Mamy już całość. Wykołowałam która to restrykcja i czerwona tapetka nie
        przedstawia już żadnych trudności:

        Start >>> Uruchom >>> regedit i w kluczu:

        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

        Kliknąć prawym na wartość o nazwie Wallpaper i ją skasować. Nastąpi
        natychmiastowy debloker wyboru nowej tapety.



        Nie zapomnijcie z dysku skasować plik C:\Windows\desktop.html i folder
        C:\Desktop



        Oczywiscie wszystko pochodzi z:
        www.searchengines.pl/phpbb203/index.php?showtopic=31936
      • neder Re: moj pierwszy log 06.04.05, 22:49
        Gość portalu: jasnoniebieski napisał(a):

        > witam ponownie
        > wiec po odznaczeniu od 01 - 016 i resecie kompa


        skasowałeś pliki 01-016 (w sensie od 01 do 016)?
        • Gość: Kolobos Re: moj pierwszy log IP: *.warszawa.sdi.tpnet.pl 06.04.05, 23:04
          Miejmy nadzieje, ze nie ;-)
          Ale hijackthis robi kopie tego co kasuje wiec mozna przywrocic wszystko.
          • Gość: jasnoniebieski Re: moj pierwszy log IP: *.internetdsl.tpnet.pl 07.04.05, 09:36
            Witam
            to znowu ja
            zrobilem tak jak w opisie wklejonej strony (dziekuje), ale w moim regedit nie
            ma takiego czegos:

            HKEY_USERS\S-1-5-21-zmienne
            numerki\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
            HKEY_USERS\S-1-5-21-zmienne
            numerki\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

            mam tam tylko:
            HKEY_USERS\.DEFAULT\...
            i
            HKEY_USERS\Software\...

            oczywiscie ze zaznaczylem wszystko od 01 do 016 i usunalem (:
            ale teraz przywrocilem te co byly posrodku

            >Nie zapomnijcie z dysku skasować plik C:\Windows\desktop.html i folder
            C:\Desktop

            usunalem c:\desktop, ale c:\windows\desktop.html nie znalazlem, mam tam tylko
            desktop.ini

            no i gdy exploruje sobie moj komputer za kazdym razem foldery wyswietlaja mi
            sie w nowym oknie...gdzie moge to zmienic? wiem ze byla taka opcja gdzies w
            ustawieniach ale juz nie pamietam gdzie to bylo...

            aktualny log:

            Logfile of HijackThis v1.99.1
            Scan saved at 09:33:24, on 05-04-07
            Platform: Windows 98 SE (Win9x 4.10.2222A)
            MSIE: Internet Explorer v6.00 (6.00.2600.0000)

            Running processes:
            C:\WINDOWSS\SYSTEM\KERNEL32.DLL
            C:\WINDOWSS\SYSTEM\MSGSRV32.EXE
            C:\WINDOWSS\SYSTEM\mmtask.tsk
            C:\WINDOWSS\SYSTEM\PSTORES.EXE
            C:\WINDOWSS\SYSTEM\DDHELP.EXE
            C:\WINDOWSS\EXPLORER.EXE
            C:\WINDOWSS\SYSTEM\SYSTRAY.EXE
            C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE
            C:\WINDOWSS\TASKMON.EXE
            C:\WINDOWSS\SYSTEM\INTERNAT.EXE
            C:\PROGRAM FILES\EMULE\EMULE.EXE
            D:\IREK\GADU-GADU\GG.EXE
            C:\PROGRAM FILES\HP OFFICEJET SERIES 700\BIN\HPOSTR03.EXE
            C:\WINDOWSS\SYSTEM\WMIEXE.EXE
            C:\PROGRAM FILES\HP OFFICEJET SERIES 700\BIN\HPOVDX03.EXE
            C:\WINDOWSS\SYSTEM\HPOHID03.EXE
            C:\PROGRAM FILES\WINAMP\WINAMP.EXE
            C:\WINDOWSS\SYSTEM\SPOOL32.EXE
            C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
            C:\WINDOWSS\NOTEPAD.EXE
            E:\MOJE\HIJACKTHIS\HIJACKTHIS.EXE

            R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
            O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\PROGRAM
            FILES\GETRIGHT\XX2GR.DLL
            O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
            C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
            O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
            C:\WINDOWSS\SYSTEM\MSDXM.OCX
            O4 - HKLM\..\Run: [Zasobnik systemowy] SysTray.Exe
            O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE /min
            O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
            O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
            C:\WINDOWSS\SYSTEM\NvCpl.dll,NvStartup
            O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe
            powrprof.dll,LoadCurrentPwrScheme
            O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
            O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWSS\taskmon.exe
            O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWSS\scanregw.exe /autorun
            O4 - HKLM\..\Run: [internat.exe] internat.exe
            O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe
            powrprof.dll,LoadCurrentPwrScheme
            O4 - HKCU\..\Run: [Gadu-Gadu] "D:\IREK\GADU-GADU\GG.EXE" /tray
            O4 - HKCU\..\Run: [eMuleAutoStart] C:\PROGRAM FILES\EMULE\EMULE.EXE -AutoStart
            O4 - Startup: Psi.lnk = C:\Program Files\Psi\psi.exe
            O4 - Startup: HP OfficeJet Series 700 StartUp.lnk = C:\Program Files\HP
            OfficeJet Series 700\bin\HPOstr03.exe
            O8 - Extra context menu item: Open with GetRight Browser - C:\Program
            Files\GetRight\GRbrowse.htm
            O8 - Extra context menu item: Download with GetRight - C:\Program
            Files\GetRight\GRdownload.htm

            • neder Re: moj pierwszy log 07.04.05, 09:46
              Gość portalu: jasnoniebieski napisał(a):
              >
              > no i gdy exploruje sobie moj komputer za kazdym razem foldery wyswietlaja mi
              > sie w nowym oknie...gdzie moge to zmienic? wiem ze byla taka opcja gdzies w
              > ustawieniach ale juz nie pamietam gdzie to bylo...


              Narzędzia >opcje folderów> ogólne -> tam zmieniasz


              usunąłeś sobie HJ wpisy
              > O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer
              Class) - www.pandasoftware.com/activescan/as5/asinst.cab
              > O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
              skaner.mks.com.pl/SkanerOnline.cab

              to oznacza z tego co wiem, że będziesz musiał ściągaś sobie silniki tych
              skanerów online jeszcze raz - to tylko tak, żebyś się nie zdziwił jak będziesz
              chciał z nich skorzystać:) ale możesz to też przywrócić, poprzez opcję backups
              w HJ (jeśli oczywiście umieściłeś go w osobnym folderze - bo tylko wtedy tworzy
              backupy).


              Co do reszty to musisz poczekać na Kolobosa:)

              pzdr.

            • Gość: Kolobos Re: moj pierwszy log IP: *.warszawa.sdi.tpnet.pl 07.04.05, 11:34
              Skoro nie masz tych wpisow to ich nie zmieniasz :-) Tak samo pliki, jak juz ich
              nie ma to nie kasujesz :-)
              Co do explorera to:

              Explorer->Nardzedzia->Opcje Folderow->Ogolne->i zaznacz Otworz Foldery w tym
              samym oknie.
              • Gość: jasnoniebieski Re: moj pierwszy log IP: *.internetdsl.tpnet.pl 08.04.05, 01:53
                bardzo dziekuje za pomoc, jak na razie wszystko jest chyba ok...
    • Gość: jasnoniebieski Re: moj pierwszy log IP: *.internetdsl.tpnet.pl 08.04.05, 19:01
      witam
      kolejnym problemem jest nie wyswielanie sie wszystkich stron, np. po wpisaniu
      adresu: allegro.pl nic sie nie wyswietla, gdy wejde na allegro poprzez onet to
      wyswiela mi sie strona glowna allegro, ale gdy klikne juz na jakakolwiek
      kategorie nic sie nie wyswietla
      gdzie moze tkwic problem? wczesniej wszytko bylo ok
      mam IE 6.0
      • Gość: Kolobos Re: moj pierwszy log IP: *.warszawa.sdi.tpnet.pl 08.04.05, 19:45
        Moze masz ustawione w opcjach IE jakies proxy? Sprawdz w Internet Explorer-
        >Narzedzia->Opcje Internetowe->Polaczenia i tam w ustawieniach czy jest
        ustawione proxy jak jest to odznacz.

        Jak nie masz ustawionego proxy to sciagnij sobie FireFox lub Opere i zobacz czy
        w nich bedzie sie wszystko otwierac normalnie.
        www.firefox.pl/
        www.opera.com/download/
        Czasem oczywiscie moze cos byc nie tak ze strona, ktora otwierasz i stad
        problemy, nie musi to byc zwiazne z Twoim komputerem/programami.
Pełna wersja