bardzo, bardzo proszę o sprawdzenie loga

[zaworek2]

Logfile of HijackThis v1.99.1
Scan saved at 20:15:30, on 2005-04-09
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\userinit32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\WINDOWS\System32\gah95on6.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\WINDOWS\klnhpwqx.exe
C:\WINDOWS\System32\kaspery.exe
C:\Program Files\ISTsvc\istsvc.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Admanager Controller\AdManCtl.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Wanadoo\Profil1\HijackThis.exe
C:\Program Files\Admanager Controller\AdManKeep.exe
C:\WINDOWS\System32\slserves.exe
C:\WINDOWS\sixtypopsix.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\temp\SAHAGE~1.EXE
C:\WINDOWS\TEMP\DrTemp\thin-143-1-x-x.exe
C:\program files\internet explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\program files\internet explorer\iexplore.exe
C:\WINDOWS\Downloaded Program Files\u6f6uftuc_.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL =
searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
szukaj.wp.pl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
searchmiracle.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.google.pl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada
Plus wita Cie w Internecie
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no
file)
F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} -
C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} -
C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} -
C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec
Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program
Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software
Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program
Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5
\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
atboottime
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\System32\gah95on6.exe
O4 - HKLM\..\Run: [toFl] C:\WINDOWS\klnhpwqx.exe
O4 - HKLM\..\Run: [sais] c:\program files\180solutions\sais.exe
O4 - HKLM\..\Run: [AntiVirus] kaspery.exe
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitedks32.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Admanager Controller] C:\Program Files\Admanager
Controller\AdManCtl.exe
O4 - HKLM\..\Run: [NAV Auto Updates] slserves.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet
Optimizer\optimize.exe"
O4 - HKLM\..\RunServices: [PCprot] crscs.exe
O4 - HKLM\..\RunServices: [AntiVirus] kaspery.exe
O4 - HKLM\..\RunServices: [NAV Auto Updates] slserves.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AntiVirus] kaspery.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program
Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone - szybkie uruchamianie.lnk = C:\Program
Files\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: Download All by FlashGet - C:\PROGRA~1
\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\PROGRA~1
\FlashGet\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} -
C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-
0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O15 - Trusted Zone: ny.contentmatch.net (HKLM)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-
its:mhtml:file://c:\nosuxxx.mht!
www.kazaalite.pl/stats/xaw.chm::/bridge-c18.cab
O16 - DPF: {1F831FAC-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) -
file://C:\Program Files\AutoCAD 2002 Plk\InstFred.ocx
O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) -
www.windowsecurity.com/trojanscan/TDECntrl.CAB
O16 - DPF: {737D14F8-4090-11D4-AE0E-0010830243BD} (SysVerChk Control) -
file://C:\Program Files\AutoCAD 2002 Plk\SysVerChk.ocx
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {AE56372C-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) -
file://C:\Program Files\AutoCAD 2002 Plk\InstBanr.ocx
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) -
file://C:\Program Files\AutoCAD 2002 Plk\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{C661F822-2B50-4AFF-B13C-
B78182816085}: NameServer = 194.204.152.34 217.98.63.164
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32
\DRIVERS\CDANTSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validat

[Gość: Kolobos]

Na forum pisze sie tylko raz, nie zaklada sie nowych tematow, nie pogania sie,
czeka sie cierpliwie az ktos Ci pomoze.Swoja postawa pokazujesz, ze masz
wszystkich gdzies i Ty musisz byc najwazniejszy.Jak chcesz miec od zaraz to idz
do serwisu i zaplac, tutaj ludzie poswiecaja swoj wlasny czas zeby pomoc innym,
a Ty masz to gdzies.

[neder]

Syfu masz pod sam sufit... spróbuję odciążyć Kolobosa, bo ostatnio mam
wątpliwości czy on w ogóle sypia.

Przenieś HijackThis do osobnego folderu -będzie tworzył wtedy backupy i w razie
czego będzie można cofnąć zmiany.

Ściągasz (jeśli jeszcze nie masz)
Spybot search&destroy, ad-aware, CWSredder
forum.gazeta.pl/forum/72,2.html?f=430&w=15650200&a=15651099
ściągasz (jeśli jakiś link nioe działa to poszukaj tych programów przez google)
narazie tylko je uruchom i dokonaj aktualizacji.

EliteToolbarRemover
www.softpedia.com/get/Internet/Popup-Ad-Spyware-Blockers/EliteToolbar-Remover.shtml


- Wchodzisz w tryb awaryjny i szukasz następujących plików, folderów ->
znajdujesz, usuwasz

> C:\WINDOWS\System32\userinit32.exe
> C:\Program Files\Media Access\MediaAccK.exe -> to możesz poprzez dodaj/usuń
programy
> C:\WINDOWS\System32\gah95on6.exe
> C:\WINDOWS\klnhpwqx.exe
> C:\WINDOWS\System32\kaspery.exe
> C:\Program Files\ISTsvc\istsvc.exe -> dodaj/usuń programy
> C:\Program Files\Admanager Controller\AdManKeep.exe -> dodaj/usuń programy
> C:\WINDOWS\System32\slserves.exe
> C:\WINDOWS\sixtypopsix.exe

- Poprzez dodaj/usuń programy usuń też SearchBar, 180 solutions, przyjrzyj się
też dokładnie czy nie ma tam jeszcze jakiegoś programu, którego nie znasz.


- Używasz EliteToolbar Remover.

- Wyczyść pliki tymczasowe- też tam trochę Ci siedzi

- uruchamiasz ponownie HijackThis, wybierasz "do a system scan only" i
zaznaczasz:
> R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL =
> searchmiracle.com/sp.php
> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
> szukaj.wp.pl
> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
> searchmiracle.com/sp.php
> R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no
> file)
> F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
> O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} -
> C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
> O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} -
> C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll
> O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} -
> C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
> O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
> O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\System32\gah95on6.exe
> O4 - HKLM\..\Run: [toFl] C:\WINDOWS\klnhpwqx.exe
> O4 - HKLM\..\Run: [sais] c:\program files\180solutions\sais.exe
> O4 - HKLM\..\Run: [AntiVirus] kaspery.exe
> O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitedks32.exe
> O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
> O4 - HKLM\..\Run: [Admanager Controller] C:\Program Files\Admanager
> Controller\AdManCtl.exe
> O4 - HKLM\..\Run: [NAV Auto Updates] slserves.exe
> O4 - HKLM\..\RunServices: [AntiVirus] kaspery.exe
> O4 - HKLM\..\RunServices: [NAV Auto Updates] slserves.exe
> O4 - HKCU\..\Run: [AntiVirus] kaspery.exe
> O15 - Trusted Zone: ny.contentmatch.net (HKLM)
> O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-
> its:mhtml:file://c:\nosuxxx.mht!
> www.kazaalite.pl/stats/xaw.chm::/bridge-c18.cab

- Zaznaczasz Fix checked

- Teraz uruchamiasz CWShreder, Spybota, Ad-aware -> skanujesz.

- Uruchamiasz ponownie komputer i wklejasz nowego loga.


Jeszcze 2 sprawy:
1. masz firewalla?
2. ja na twoim miejscu odinstalowałabym aplikację neostrady i utworzyła
połączenie dial-up, bo coś się u Ciebie dzieje z tym Wanadoo- aplikacja jest
zbędna - wystarczy, że będa same sterowniki do modemu a ich nie usuwasz poprzez
odistalowanie nesotrady. Opis jak to zrobić
forum.gazeta.pl/forum/72,2.html?f=34&w=15679891&a=15680440

[zaworek2]

Mam pytanie :
Czyli mam utworzyć nowy folder obojętnie gdzie i przenieść tam cały ściągnięty
program HijackThis?

[Gość: Kolobos]

A po co? Masz zrobic to zostalo juz napisane.

[zaworek2]

Przepraszam KOLOBOS wczoraj pomyliłem grzeczność z " wszędobylstwem "
po prostu przepraszam..

Pytania:
1.Zostawić czy usunąć :
- Uninstal 180 search Assistant
- Slotch Bar
- My Search Bar

2.Wszystkie pliki , które miały być w C\WINDOWS\System32 są w
C\WINDOWS\Prefetch czy usunąć je z tamtąd

3.W C\WINDOWS znalazłem aplikacją(60KB)- czy ją usunąć?

4.Co to są lub gdzie są pliki tymczasowe?

[Gość: Kolobos]

ad 1 odinstalowac:
> - Uninstal 180 search Assistant
> - Slotch Bar
> - My Search Bar

ad 2
usunac tylko te, ktore masz podane tutaj:
forum.gazeta.pl/forum/72,2.html?f=430&w=22544412&a=22552217
nic wiecej nie kasuj bo zepsujesz.

ad 3 > 3.W C\WINDOWS znalazłem aplikacją(60KB)- czy ją usunąć?

O jaka aplikacje chodzi? Napisz nazwe itd.

ad 4 sa to jak sama nazwa pliki tymczasowe, uzyte/utworzone przez jakis
program, ktory nie pozniej juz ich nie potrzebuje i zalegaja na dysku marnujac
miejsce.
Pliki te masz w:
literadysku:\Documents and Settings\twojanazwauzytkownika\Ustawienia
lokalne\Temp <- jest to folder ukryty, a wiec wlacz w opcjach explorera zeby
pokazywal pliki ukryte.

[neder]

Sorry, że się wtrącę...:) A propos C:\Windows\ Prefetch
www.chip.pl/arts/archiwum/n/articlear_77576.html -> tu jest, że powinno
się go całkowicie czyścić raz - dwa w miesiącu, więc chyba sie razcej nic nie
zepsuje?

[Gość: Kolobos]

Ale zaworek2 chce kasowac tez z system32, a tutaj juz mozna popsuc jak sie
usunie za duzo.No chyba, ze nie chce i kasuje tylko z C\WINDOWS\Prefetch to
wtedy mozna ;-)

[zaworek2]

czli otworzyć katalog Prefetch zaznaczyć wszystko i wyrzucić do kosza?

[zaworek2]

A co zrobić z plikami w : Temporary Internet Files ( a jest ich jak z tąd do
końca świata )

[neder]

zaworek2 napisał:

> A co zrobić z plikami w : Temporary Internet Files ( a jest ich jak z tąd do
> końca świata )

dawno nie robiłes porządków systemie, co?:) usunąć - co jakiś czas to rób. Sś
specjalne programy, które pomogą Ci usuwać zbędne pliki z twojego systemu (np.
HD Cleaner)

[zaworek2]

1. Slotch Bar nie daje się usunąć z DODAJ\USUŃ
2. Właczyłem Elite Toolbar on sobie coś wyodrębnił i to wszystko ?
3. Czy usunąć aplikację Sixtypopsix(60KB) z C\WINDOWS ?
4. Co to znaczy wkleić nowego loga ?

[Gość: Kolobos]

1. to narazie zostaw
2. nie wiem o co chodzi :P o remover?
3. usun
4. uruchom hijackthis i zrob nowy log tak jak ten pierwszy i wklej tutaj :-)

[zaworek2]

zrobiłem wg Waszej instrukcji
A oto mój nowy log Proszę o sprawdzenie jeśli macie chwilkę

[zaworek2]

Logfile of HijackThis v1.99.1
Scan saved at 14:47:37, on 2005-04-10
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\userinit32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\QuickTime\qttask.exe
C:\windows\system32\dwvspu.exe
C:\windows\system32\calc.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Wanadoo\Profil1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.google.pl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada
Plus wita Cie w Internecie
F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec
Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program
Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software
Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program
Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5
\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
atboottime
O4 - HKLM\..\Run: [dwvspu] c:\windows\system32\dwvspu.exe
O4 - HKLM\..\RunServices: [PCprot] crscs.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program
Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone - szybkie uruchamianie.lnk = C:\Program
Files\HP\Digital Imaging\bin\hpqthb08.exe
O15 - Trusted Zone: *.media-motor.net
O16 - DPF: {1F831FAC-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) -
file://C:\Program Files\AutoCAD 2002 Plk\InstFred.ocx
O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) -
www.windowsecurity.com/trojanscan/TDECntrl.CAB
O16 - DPF: {737D14F8-4090-11D4-AE0E-0010830243BD} (SysVerChk Control) -
file://C:\Program Files\AutoCAD 2002 Plk\SysVerChk.ocx
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {AE56372C-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) -
file://C:\Program Files\AutoCAD 2002 Plk\InstBanr.ocx
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) -
file://C:\Program Files\AutoCAD 2002 Plk\AcPreview.ocx
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32
\DRIVERS\CDANTSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec
Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation -
C:\Program Files\Norton Internet Security\ccPxySvc.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak
Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec
Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec
Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

[Gość: Kolobos]

Zaznacz te wpisy w hijackthis:

F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
O4 - HKLM\..\Run: [dwvspu] c:\windows\system32\dwvspu.exe
O4 - HKLM\..\RunServices: [PCprot] crscs.exe
O15 - Trusted Zone: *.media-motor.net

I Fix Checked, po resecie usun:
c:\windows\system32\dwvspu.exe
C:\Windows\system32\userinit32.exe (nie pomyl z userinit.exe)
i to: crscs.exe

Pozniej reset i wklej nowy log.

[zaworek2]

1. W C\WINDOWS\system32 są aplikacje : dwvspu oraz userinit ale ich nie usuwam ,
natomiast w Prefetch pojawiły się znowu m.in. dwvspu.exe ,userinit32.exe -
które usunąłem
2. a oto nowy log
Logfile of HijackThis v1.99.1
Scan saved at 15:32:38, on 2005-04-10
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\userinit32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\kaspery.exe
C:\WINDOWS\System32\MSAOL32.exe
C:\Program Files\Preview AdService\PrevAdServ.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\Program Files\Preview AdService\PrevAdKeep.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\MSAOL32.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Wanadoo\Profil1\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
szukaj.wp.pl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.google.pl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada
Plus wita Cie w Internecie
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no
file)
F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
O2 - BHO: DLMaxObj Class - {00000000-59D4-4008-9058-080011001200} -
C:\WINDOWS\dlmax.dll
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} -
C:\WINDOWS\nem220.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec
Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program
Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software
Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program
Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5
\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
atboottime
O4 - HKLM\..\Run: [AntiVirus] kaspery.exe
O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\Run: [Preview AdService] C:\Program Files\Preview
AdService\PrevAdServ.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet
Optimizer\optimize.exe"
O4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exe
O4 - HKLM\..\RunServices: [AntiVirus] kaspery.exe
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AntiVirus] kaspery.exe
O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program
Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone - szybkie uruchamianie.lnk = C:\Program
Files\HP\Digital Imaging\bin\hpqthb08.exe
O16 - DPF: {1F831FAC-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) -
file://C:\Program Files\AutoCAD 2002 Plk\InstFred.ocx
O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) -
www.windowsecurity.com/trojanscan/TDECntrl.CAB
O16 - DPF: {737D14F8-4090-11D4-AE0E-0010830243BD} (SysVerChk Control) -
file://C:\Program Files\AutoCAD 2002 Plk\SysVerChk.ocx
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {AE56372C-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) -
file://C:\Program Files\AutoCAD 2002 Plk\InstBanr.ocx
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) -
file://C:\Program Files\AutoCAD 2002 Plk\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{C661F822-2B50-4AFF-B13C-B78182816085}:
NameServer = 194.204.152.34 217.98.63.164
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32
\DRIVERS\CDANTSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec
Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation -
C:\Program Files\Norton Internet Security\ccPxySvc.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak
Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec
Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec
Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

[Gość: Kolobos]

Odinstaluj to:

Preview AdService
Internet Optimizer

W hijackthis zaznacz te wpisy:
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no
file)
O2 - BHO: DLMaxObj Class - {00000000-59D4-4008-9058-080011001200} -
C:\WINDOWS\dlmax.dll
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} -
C:\WINDOWS\nem220.dll
O4 - HKLM\..\Run: [AntiVirus] kaspery.exe
O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\Run: [Preview AdService] C:\Program Files\Preview
AdService\PrevAdServ.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet
Optimizer\optimize.exe"
O4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exe
O4 - HKLM\..\RunServices: [AntiVirus] kaspery.exe
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe

I Fix Checked, nastepnie w hijackthis wejdz w Open Misc Tools I Delete file on
reboot i wybierz te pliki (wklej sciezke):

C:\WINDOWS\farmmext.exe
C:\WINDOWS\dlmax.dll
C:\WINDOWS\nem220.dll
kaspery.exe <- tego poszukaj w szukaj plikow, ale pewnie bedzie w windows albo
windows\system32

(nie restuj dopuki nie dodasz wszystkich plikow)

Recznie usun caly katalog:
C:\Program Files\Preview AdService\

Po resecie wklej nowy log.

[zaworek2]

oto mój log:

Logfile of HijackThis v1.99.1
Scan saved at 18:44:38, on 2005-04-10
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\userinit32.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\kaspery.exe
C:\WINDOWS\System32\MSAOL32.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\temp\salm.exe
C:\WINDOWS\System32\jusched.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\WINDOWS\vanibyv.exe
C:\WINDOWS\System32\gah95on6.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\Wanadoo\Profil1\HijackThis.exe
C:\Program Files\Wanadoo\Profil1\HijackThis.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.google.pl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada
Plus wita Cie w Internecie
F2 - REG:system.ini: Shell=Explorer.exe jusched.exe
F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
O2 - BHO: DLMaxObj Class - {00000000-59D4-4008-9058-080011001200} -
C:\WINDOWS\dlmax.dll (file missing)
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec
Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program
Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software
Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program
Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5
\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
atboottime
O4 - HKLM\..\Run: [AntiVirus] kaspery.exe
O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\eliteyfd32.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet
Optimizer\optimize.exe"
O4 - HKLM\..\Run: [vanibyv] C:\WINDOWS\vanibyv.exe
O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\System32\gah95on6.exe
O4 - HKLM\..\RunServices: [AntiVirus] kaspery.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AntiVirus] kaspery.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program
Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone - szybkie uruchamianie.lnk = C:\Program
Files\HP\Digital Imaging\bin\hpqthb08.exe
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be
Internet Zone
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} -
static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c267.cab
O16 - DPF: {1F831FAC-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) -
file://C:\Program Files\AutoCAD 2002 Plk\InstFred.ocx
O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) -
www.windowsecurity.com/trojanscan/TDECntrl.CAB
O16 - DPF: {737D14F8-4090-11D4-AE0E-0010830243BD} (SysVerChk Control) -
file://C:\Program Files\AutoCAD 2002 Plk\SysVerChk.ocx
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {AE56372C-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) -
file://C:\Program Files\AutoCAD 2002 Plk\InstBanr.ocx
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) -
file://C:\Program Files\AutoCAD 2002 Plk\AcPreview.ocx
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32
\DRIVERS\CDANTSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec
Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation -
C:\Program Files\Norton Internet Security\ccPxySvc.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak
Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec
Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec
Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

------------Nie mogłem usunąć C:\Program Files\Preview AdService\ bo go nie
było
-----------W Open Misc Tools I Delete file on nie
znalazłem :farmmext.exe,kaspery.exe(były w koszu)

[neder]

rany, ciągle Ci te syfy wracają... robisz wszystko w awaryjnym? spróbuj
wyłączyć przywracanie systemu i wtedy dopiero to wszystko usuwać bo coś mi się
wydaje, że tak będzie w kółko. A do tego przybywają Ci nowe syfy - z tego co
widzę... nie używasz firewalla, prawda?

> C:\WINDOWS\System32\userinit32.exe
> C:\WINDOWS\System32\kaspery.exe
> C:\WINDOWS\System32\MSAOL32.exe
> C:\Program Files\Media Access\MediaAccK.exe
> C:\Program Files\Media Access\MediaAccess.exe
> C:\temp\salm.exe
> C:\WINDOWS\vanibyv.exe
> C:\WINDOWS\System32\gah95on6.exe


Rany, współczuję Ci bo to jakiś koszmar...

[Gość: Kolobos]

Nie tylko wracaja ale ma caly czas nowe ;-)
Pewnie sciaga na bierzaco :P

[zaworek2]

Proszę jeszcze raz o sprawdzenie loga.
Jestem już po prostu zdruzgotany, mogę zrobić format c: ale myślę że jednak
możecie wygrać z tym syfem.

Logfile of HijackThis v1.99.1
Scan saved at 14:34:41, on 2005-04-11
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\userinit32.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\kaspery.exe
C:\WINDOWS\System32\MSAOL32.exe
C:\WINDOWS\System32\jusched.exe
C:\WINDOWS\System32\ap9h4qmo.exe
C:\WINDOWS\System32\slserves.exe
C:\program files\internet explorer\iexplore.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\MSAOL32.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Wanadoo\Profil1\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
szukaj.wp.pl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.google.pl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada
Plus wita Cie w Internecie
F2 - REG:system.ini: Shell=Explorer.exe jusched.exe
F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} -
C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec
Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program
Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software
Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program
Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5
\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
atboottime
O4 - HKLM\..\Run: [AntiVirus] kaspery.exe
O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\eliteyfd32.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet
Optimizer\optimize.exe"
O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\System32\gah95on6.exe
O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\System32\ap9h4qmo.exe
O4 - HKLM\..\Run: [NAV Auto Updates] slserves.exe
O4 - HKLM\..\Run: [Admanager Controller] C:\Program Files\Admanager
Controller\AdManCtl.exe
O4 - HKLM\..\Run: [czmn] C:\WINDOWS\czmn.exe
O4 - HKLM\..\RunServices: [AntiVirus] kaspery.exe
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\RunServices: [NAV Auto Updates] slserves.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AntiVirus] kaspery.exe
O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKCU\..\Run: [NAV Auto Updates] slserves.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program
Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone - szybkie uruchamianie.lnk = C:\Program
Files\HP\Digital Imaging\bin\hpqthb08.exe
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be
Internet Zone
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://C:
oo.mht!198.88.20.155/targ.chm::/win32.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} -
static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c267.cab
O16 - DPF: {1F831FAC-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) -
file://C:\Program Files\AutoCAD 2002 Plk\InstFred.ocx
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) -
www.windowsecurity.com/trojanscan/TDECntrl.CAB
O16 - DPF: {737D14F8-4090-11D4-AE0E-0010830243BD} (SysVerChk Control) -
file://C:\Program Files\AutoCAD 2002 Plk\SysVerChk.ocx
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {AE56372C-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) -
file://C:\Program Files\AutoCAD 2002 Plk\InstBanr.ocx
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) -
file://C:\Program Files\AutoCAD 2002 Plk\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{C661F822-2B50-4AFF-B13C-B78182816085}:
NameServer = 194.204.152.34 217.98.63.164
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32
\DRIVERS\CDANTSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec
Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation -
C:\Program Files\Norton Internet Security\ccPxySvc.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak
Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec
Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec
Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service

[Gość: Kolobos]

Po co wklejasz nowy log jak nie zrobiles nawet tego co pisalem wczesniej?

forum.gazeta.pl/forum/72,2.html?f=430&w=22544412&a=22566012
Uzyj tego:
www.simplytech.it/ETRemover/ETRemoverV120.zip
To usun w hijackthis:
> F2 - REG:system.ini: Shell=Explorer.exe jusched.exe
> F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
> O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} -
> C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll
> O4 - HKLM\..\Run: [AntiVirus] kaspery.exe <- ten plik po resecie usun
> O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
> O4 - HKLM\..\Run: [etbrun] C:\windows\system32\eliteyfd32.exe

To miales odinstalowac, czemu tego nie zrobiles?
> O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
<- po resecie usun ten katalog

> O4 - HKLM\..\Run: [salm] c:\temp\salm.exe <- wywal wszystko z C:\Temp po
resecie
To tez miales odinstalowac i co?
> O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet
> Optimizer\optimize.exe" <- po resecie usun ten katalog

> O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\System32\gah95on6.exe <- usun po
resecie
> O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\System32\ap9h4qmo.exe <- usun po
resecie
> O4 - HKLM\..\Run: [NAV Auto Updates] slserves.exe <- po resecie usun ten plik

To miales odinstalowac:
> O4 - HKLM\..\Run: [Admanager Controller] C:\Program Files\Admanager
> Controller\AdManCtl.exe <- po resecie usun ten katalog
> O4 - HKLM\..\Run: [czmn] C:\WINDOWS\czmn.exe <- usun ten plik
> O4 - HKLM\..\RunServices: [AntiVirus] kaspery.exe
> O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
> O4 - HKLM\..\RunServices: [NAV Auto Updates] slserves.exe
> O4 - HKCU\..\Run: [AntiVirus] kaspery.exe
> O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
> O4 - HKCU\..\Run: [NAV Auto Updates] slserves.exe
> O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be
> Internet Zone
> O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://C:
> oo.mht!198.88.20.155/targ.chm::/win32.exe
> O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} -
> static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c267.cab
> O16 - DPF: {1F831FAC-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) -
> file://C:\Program Files\AutoCAD 2002 Plk\InstFred.ocx
> O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
> O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) -
> www.windowsecurity.com/trojanscan/TDECntrl.CAB

I Fix Checked, po resecie usun pliki ktore wymienilem jako do usuniecia, i nie
wklejaj nowego log'a dopuki tego nie zrobisz.Bo z tego co widze to ciagle
wklejasz to samo i ciagle te same pliki masz mimo ze miales je usunac.

[neder]

:( nie chcę Cię załamywać ale... ciągle siedzą. Nie odpowiedziałeś na pytanie -
czy robisz to wszystko w awaryjnym, i poza tym czy wyłączasz przywracanie
systemu? To w Twoim przypadku akurat ma znaczenie jak sądzę.

Przed dokananiem jakichkolwiek zmian i usuwaniem czegokolwiek upewnij się, że
masz włączoną opcję pokazywania ukrytych folderów -> Narzędzia> opcje folderów>
widok.

Ściągnij CWShredder - na razie tylko dokonaj aktualizacji - jeszcze nie skanuj -
ponoć teoretycznie ma usuwać userinit32, które nie chce Ci się usunąć.
www.softpedia.com/get/Internet/Popup-Ad-Spyware-Blockers/CWShredder.shtml

A "syfki" to nadal:

> C:\WINDOWS\System32\userinit32.exe
> C:\WINDOWS\System32\kaspery.exe
> C:\WINDOWS\System32\MSAOL32.exe
> C:\WINDOWS\System32\ap9h4qmo.exe
> C:\WINDOWS\System32\slserves.exe


MODEL PRAWIDŁOWEGO USUWANIA SZKODNIKÓW- czyli wyłączanie przywracania systemu i
tryb awaryjny masz tutaj
www.searchengines.pl/phpbb203/index.php?showtopic=12510&st=0&#entry25589
->w skrócie:

A. WYŁĄCZANIE PRZYWRACANIA SYSTEMU
Control Panel (Panel sterowania) >>> System >>> System Restore (Przywracanie
systemu)
Tam zaznacz opcję Turn off System Restore lub Turn off System Restore on all
drives (Wyłącz przywracanie na wszystkich dyskach). Zatwierdzasz wszystkie
zmiany.

B. TRYB AWARYJNY

Są dwie metody:
1. Przez klawisz F8 (lub F5):
W momencie kiedy komputer się resetuje i ma jeszcze czarny ekran klikamy
nieustannie i bardzo szybko w klawisz F8. Na starszych kompach ta metoda może
się nie sprawdzić gdyż klawisz F8 może być wyłączony lub może być przypisany
inny. Np. jeśli komuś po kliknięciu w F8 wyskoczy wybór urządzenia bootującego
to znaczy, że u niego klawiszem dzięki, któremu przechodzi się w tryb awaryjny
prawdopodobnie jest F5. Problem z metodą F8 polega na strzelaniu w ten klawisz
WE WŁAŚCIWYM MOMENCIE: na czarnym ekranie ale nie za wcześnie (inaczej wystąpi
błąd klawiatury) i nie za późno (inaczej załaduje się Windows w trybie
Normalnym).

2. Przez narzędzie systemowe MSCONFIG.
Patrz niżej na różnice w jego użyciu pomiędzy Windowsami. Ta metoda może się
nie powieść jeśli na kompie jest śmieć gdyż wiele śmieci w pierwszej kolejności
blokuje msconfig właśnie!
Wniosek: nie działa F8 to msconfig, nie działa msconfig to F8.


- USUWANIE EliteSideBar - albo poprzez dodaj/usuń programy jeśli sie nie uda to:
Start> uruchom> regsvr32 /u EliteSideBar 08.dll
teraz coś czego ja nie rozumiem bo nie musiałam nigdy tego robić ale w
angielskiej wersji jest "unregister the dll(s)" więc jak otworzysz już to
okienko to zobacz co zrobić, żeby to świństwo usunąć, co będzie dalej - sorki
ale więcej w tej sprawie nie umiem Ci pomóc:(

> potem sprawdż czy masz wrejestrze wpisy (Start> uruchom> regedit)
HKEY_CLASSES_ROOT\clsid\{0a1d22c3-37be-470c-9c29-e3074ee0574b}
HKEY_CLASSES_ROOT\clsid\{28caeff3-0f18-4036-b504-51d73bd81abc}
HKEY_CLASSES_ROOT\clsid\{825cf5bd-8862-4430-b771-0c15c5ca8def}
HKEY_CLASSES_ROOT\clsid\{be8d0059-d24d-4919-b76f-99f4a2203647}
HKEY_CLASSES_ROOT\clsid\{ed103d9f-3070-4580-ab1e-e5c179c1ae41}
HKEY_CURRENT_USER\software\microsoft\internet
explorer\toolbar\webbrowser\{825cf5bd-8862-4430-b771-0c15c5ca8def}
HKEY_LOCAL_MACHINE\software\elitum
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar\{825cf5bd-8862-
4430-b771-0c15c5ca8def}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser
helper objects\{28caeff3-0f18-4036-b504-51d73bd81abc}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser
helper objects\{ed103d9f-3070-4580-ab1e-e5c179c1ae41}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\antiware
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\elitebar
internet explorer toolbar
HKEY_LOCAL_MACHINE\software\ohbbackup
-> jeśli jakiś jest to usuwasz (trochę tego jest ale jak się zainstalowało to
trzeba odinstalować a wszystko podaję Ci za stroną
www3.ca.com/securityadvisor/pest/pest.aspx?id=453090724 )
generalnie przeszukaj komputer pod kątem wszystkich plików elitesidebar ->
znajdziesz to usuwasz oczywiście.


-USUWANIE MediaAcces-> poprzez dodaj/usuń programy


- następna sprawa to czyszczenie plików tymczasowych bo też Ci syf tam siedzi -
> Start> uruchom> %temp% i czyściusz wszystko

- Uruchamiasz CWShredder


Właśnie zobaczyłam co Kolobos podał Ci do usunięcia w Hj więc to usuń:D

[zaworek2]

ad.2
pliki : userinit32.exe , gah95on6.exe , klnhpwqx.exe , kaspery.exe ,
slserves.exe , sixtypopsix.exe - są to pliki które miałem skasować z "sysem 32"
ale ich tam nie ma , ale za to są w : C\WINDOWS\Prefetch czy ich skasować?

ad.3 chodzi o aplikację : Sixtypopsix

[neder]

1. tak, usuń- to są syfy

2. tak, usuń - w awaryjnym najlepiej (z resztą tak jak resztę czynności)

[neder]

Kolobos, on się pyta bo ja mu tak napisałam... a to po to, żeby HijackThis
zrobił backupy.

Do autora wątku - tak, jeśli jeszcze tego nie zrobiłeś to utwórz folder
obojętnie gdzie - według mnie tak jest najzwyczajniej w świecie bezpieczniej.


pzdr.

[neder]

neder napisała:

> Do autora wątku - tak, jeśli jeszcze tego nie zrobiłeś to utwórz folder
> obojętnie gdzie - według mnie tak jest najzwyczajniej w świecie bezpieczniej.



Nie wiem tylko czy ściągnąłeś HJ w archiwum? Jesli tak to rozpakuj je a w tym
folderze umieść samo .exe programu.

[zaworek2]

Wszystko robię w trybie awaryjnym ale nie mogę wytropić niektórych plików
, przywracanie systemu mam wyłączone

oto mój log

Logfile of HijackThis v1.99.1
Scan saved at 18:40:03, on 2005-04-11
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\userinit32.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\jusched.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\Wanadoo\Profil1\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
szukaj.wp.pl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.google.pl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada
Plus wita Cie w Internecie
F2 - REG:system.ini: Shell=Explorer.exe jusched.exe
F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec
Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program
Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software
Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program
Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5
\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
atboottime
O4 - HKLM\..\Run: [axwlshun] C:\WINDOWS\axwlshun.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program
Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone - szybkie uruchamianie.lnk = C:\Program
Files\HP\Digital Imaging\bin\hpqthb08.exe
O16 - DPF: {737D14F8-4090-11D4-AE0E-0010830243BD} (SysVerChk Control) -
file://C:\Program Files\AutoCAD 2002 Plk\SysVerChk.ocx
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {AE56372C-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) -
file://C:\Program Files\AutoCAD 2002 Plk\InstBanr.ocx
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) -
file://C:\Program Files\AutoCAD 2002 Plk\AcPreview.ocx
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32
\DRIVERS\CDANTSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec
Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation -
C:\Program Files\Norton Internet Security\ccPxySvc.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak
Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec
Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec
Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

[neder]

jezu, nie wierzę własnym oczom...:) został ci tylko ten cholerny userinit32...
teraz Ci nie pomoge bo musz esię zmywać, ale może ktoś ci powie jak go się
pozbyć - jak nie to moge jutro (jesli coiś znajdę w necie - możesz tez sam w
google poszukać jak pozbyć się tego dziadostwa)


Ja bym na Twoim miejscu zrobiła teraz jedno - szybko zainstalowała firewall
zanim nałapiesz jakiegoś następnego syfu - np. Zone Alarm
www.komputerswiat.pl/include/download/download.asp?sciezka=/programy/internetowe/security/ZoneAlarmPro
albo Kerio Personal firewall
www.kerio.pl/

do usunięcia masz jeszcze jedno (to własnie jakieś nowe)
> O4 - HKLM\..\Run: [axwlshun] C:\WINDOWS\axwlshun.exe -> tez ręcznie spróbuj
usunąć z katalogu Windows

Jaką masz stronę startową? google? jeśli nie masz nic wspólnego z ustawianiem
tej strony szukaj.wp.pl to usuwasz
> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
> szukaj.wp.pl

i jeśli masz legalny Windows to zalecam odwiedziny na
www.windowsupdate.com

Uff, powoli zaczyna być widać koniec:)

[zaworek2]

Ostatni log wyszedł nieźle.
Za ok. pół godz (komp. cały czas włączony )w DODAJ/USUŃ programy pojawia
się znowu:
- Internet Optimizer
- Media Access
A norton wywala mi komunikaty :
-DownloaderTrojan
- w32.wallz
- w32....

oto mój log teraz
Logfile of HijackThis v1.99.1
Scan saved at 19:46:46, on 2005-04-11
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\userinit32.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\WINDOWS\System32\ap9h4qmo.exe
C:\WINDOWS\System32\slserves.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\jusched.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\Wanadoo\Watch.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\ftp.exe
C:\Program Files\Wanadoo\Profil1\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
szukaj.wp.pl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.google.pl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada
Plus wita Cie w Internecie
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no
file)
F2 - REG:system.ini: Shell=Explorer.exe jusched.exe
F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} -
C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} -
C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} -
C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec
Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program
Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software
Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program
Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5
\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
atboottime
O4 - HKLM\..\Run: [axwlshun] C:\WINDOWS\axwlshun.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet
Optimizer\optimize.exe"
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitemuz32.exe
O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\System32\ap9h4qmo.exe
O4 - HKLM\..\Run: [NAV Auto Updates] slserves.exe
O4 - HKLM\..\RunServices: [NAV Auto Updates] slserves.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NAV Auto Updates] slserves.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program
Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone - szybkie uruchamianie.lnk = C:\Program
Files\HP\Digital Imaging\bin\hpqthb08.exe
O16 - DPF: {737D14F8-4090-11D4-AE0E-0010830243BD} (SysVerChk Control) -
file://C:\Program Files\AutoCAD 2002 Plk\SysVerChk.ocx
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {AE56372C-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) -
file://C:\Program Files\AutoCAD 2002 Plk\InstBanr.ocx
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) -
file://C:\Program Files\AutoCAD 2002 Plk\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{C661F822-2B50-4AFF-B13C-B78182816085}:
NameServer = 194.204.152.34 217.98.63.164
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32
\DRIVERS\CDANTSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec
Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation -
C:\Program Files\Norton Internet Security\ccPxySvc.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak
Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec
Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec
Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

[Gość: Kolobos]

Ten log sie prawie w ogole nie zmienia, ciagle te same pliki.

Uzyles: www.simplytech.it/ETRemover/ETRemoverV120.zip ?
Skoro to nie usunelo to zrob to co jest opisane tutaj:
www.searchengines.pl/phpbb203/index.php?showtopic=12510&st=0&#entry76438
Sciagnij to:
www.downloads.subratam.org/KillBox.zip
zaznacz delete on reboot i wklej do niego sciezki do tych plikow:
C:\WINDOWS\System32\userinit32.exe i nacisnij czerwony przycisk, na pytanie czy
chcesz resetowac wybierz, ze nie zgodzisz sie dopiero po dodaniu wszystkich
plikow, to samo robisz z tymi:
C:\Program Files\Media Access\MediaAccK.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\WINDOWS\System32\ap9h4qmo.exe
C:\WINDOWS\System32\slserves.exe
C:\WINDOWS\System32\jusched.exe <- to chyba nie jest java ;-)
C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll
C:\WINDOWS\axwlshun.exe
C:\windows\system32\elitemuz32.exe
Jak dodasz ostatni to wybierz, ze chcesz resetowac.


Nastepnie usun te wpisy co poprzednio w hijackthis, bo nie bede pisal tego
znowu.

I po resecie wklej nowy log i nawet nie probuj wkleic znowu tego samego.


Ps. czemu masz wlaczone -> C:\WINDOWS\system32\ftp.exe ? Sciagasz cos? czy moze
ktos Ci sie wlamal i cos sobie sciaga?

Dziala Ci w ogole firewall? Nie masz czasem jakiegos programu, ktory blokuje
zmiany w rejestrze? (to musialby byc jakis debilny program ;-)).

[neder]

ja się zaraz popłaczę... było już tak ładnie :(

[Gość: Kolobos]

To jest naprawde dziwne, bo wiekszosc tych smieci da sie usunac odrazu i nie ma
problemu.Wiec albo zaworek tego nie usuwa, albo instaluje zaraz nowe, albo
uzywa przywracania systemu.Albo ktos inny to robi i psuje :>

[neder]

ale poprzedni log był naprawdę już "prawie" w porządku...;( o tutaj
forum.gazeta.pl/forum/72,2.html?f=430&w=22544412&a=22612302
wydrukuję to sobie i powieszę na ścianie i będe udawać, że nie ma problema ;D