Dodaj do ulubionych

bardzo, bardzo proszę o sprawdzenie loga

09.04.05, 20:40
Logfile of HijackThis v1.99.1
Scan saved at 20:15:30, on 2005-04-09
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\userinit32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\WINDOWS\System32\gah95on6.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\WINDOWS\klnhpwqx.exe
C:\WINDOWS\System32\kaspery.exe
C:\Program Files\ISTsvc\istsvc.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Admanager Controller\AdManCtl.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Wanadoo\Profil1\HijackThis.exe
C:\Program Files\Admanager Controller\AdManKeep.exe
C:\WINDOWS\System32\slserves.exe
C:\WINDOWS\sixtypopsix.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\temp\SAHAGE~1.EXE
C:\WINDOWS\TEMP\DrTemp\thin-143-1-x-x.exe
C:\program files\internet explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\program files\internet explorer\iexplore.exe
C:\WINDOWS\Downloaded Program Files\u6f6uftuc_.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL =
searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
szukaj.wp.pl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
searchmiracle.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.google.pl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada
Plus wita Cie w Internecie
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no
file)
F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} -
C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} -
C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} -
C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec
Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program
Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software
Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program
Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5
\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
atboottime
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\System32\gah95on6.exe
O4 - HKLM\..\Run: [toFl] C:\WINDOWS\klnhpwqx.exe
O4 - HKLM\..\Run: [sais] c:\program files\180solutions\sais.exe
O4 - HKLM\..\Run: [AntiVirus] kaspery.exe
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitedks32.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Admanager Controller] C:\Program Files\Admanager
Controller\AdManCtl.exe
O4 - HKLM\..\Run: [NAV Auto Updates] slserves.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet
Optimizer\optimize.exe"
O4 - HKLM\..\RunServices: [PCprot] crscs.exe
O4 - HKLM\..\RunServices: [AntiVirus] kaspery.exe
O4 - HKLM\..\RunServices: [NAV Auto Updates] slserves.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AntiVirus] kaspery.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program
Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone - szybkie uruchamianie.lnk = C:\Program
Files\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: Download All by FlashGet - C:\PROGRA~1
\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\PROGRA~1
\FlashGet\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} -
C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-
0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O15 - Trusted Zone: ny.contentmatch.net (HKLM)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-
its:mhtml:file://c:\nosuxxx.mht!
www.kazaalite.pl/stats/xaw.chm::/bridge-c18.cab
O16 - DPF: {1F831FAC-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) -
file://C:\Program Files\AutoCAD 2002 Plk\InstFred.ocx
O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) -
www.windowsecurity.com/trojanscan/TDECntrl.CAB
O16 - DPF: {737D14F8-4090-11D4-AE0E-0010830243BD} (SysVerChk Control) -
file://C:\Program Files\AutoCAD 2002 Plk\SysVerChk.ocx
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {AE56372C-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) -
file://C:\Program Files\AutoCAD 2002 Plk\InstBanr.ocx
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) -
file://C:\Program Files\AutoCAD 2002 Plk\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{C661F822-2B50-4AFF-B13C-
B78182816085}: NameServer = 194.204.152.34 217.98.63.164
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32
\DRIVERS\CDANTSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validat
Obserwuj wątek
    • neder Re: bardzo, bardzo proszę o sprawdzenie loga 10.04.05, 00:14
      Syfu masz pod sam sufit... spróbuję odciążyć Kolobosa, bo ostatnio mam
      wątpliwości czy on w ogóle sypia.

      Przenieś HijackThis do osobnego folderu -będzie tworzył wtedy backupy i w razie
      czego będzie można cofnąć zmiany.

      Ściągasz (jeśli jeszcze nie masz)
      Spybot search&destroy, ad-aware, CWSredder
      forum.gazeta.pl/forum/72,2.html?f=430&w=15650200&a=15651099
      ściągasz (jeśli jakiś link nioe działa to poszukaj tych programów przez google)
      narazie tylko je uruchom i dokonaj aktualizacji.

      EliteToolbarRemover
      www.softpedia.com/get/Internet/Popup-Ad-Spyware-Blockers/EliteToolbar-Remover.shtml


      - Wchodzisz w tryb awaryjny i szukasz następujących plików, folderów ->
      znajdujesz, usuwasz

      > C:\WINDOWS\System32\userinit32.exe
      > C:\Program Files\Media Access\MediaAccK.exe -> to możesz poprzez dodaj/usuń
      programy
      > C:\WINDOWS\System32\gah95on6.exe
      > C:\WINDOWS\klnhpwqx.exe
      > C:\WINDOWS\System32\kaspery.exe
      > C:\Program Files\ISTsvc\istsvc.exe -> dodaj/usuń programy
      > C:\Program Files\Admanager Controller\AdManKeep.exe -> dodaj/usuń programy
      > C:\WINDOWS\System32\slserves.exe
      > C:\WINDOWS\sixtypopsix.exe

      - Poprzez dodaj/usuń programy usuń też SearchBar, 180 solutions, przyjrzyj się
      też dokładnie czy nie ma tam jeszcze jakiegoś programu, którego nie znasz.


      - Używasz EliteToolbar Remover.

      - Wyczyść pliki tymczasowe- też tam trochę Ci siedzi

      - uruchamiasz ponownie HijackThis, wybierasz "do a system scan only" i
      zaznaczasz:
      > R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL =
      > searchmiracle.com/sp.php
      > R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
      > szukaj.wp.pl
      > R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
      > searchmiracle.com/sp.php
      > R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no
      > file)
      > F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
      > O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} -
      > C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
      > O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} -
      > C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll
      > O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} -
      > C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
      > O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
      > O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\System32\gah95on6.exe
      > O4 - HKLM\..\Run: [toFl] C:\WINDOWS\klnhpwqx.exe
      > O4 - HKLM\..\Run: [sais] c:\program files\180solutions\sais.exe
      > O4 - HKLM\..\Run: [AntiVirus] kaspery.exe
      > O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitedks32.exe
      > O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
      > O4 - HKLM\..\Run: [Admanager Controller] C:\Program Files\Admanager
      > Controller\AdManCtl.exe
      > O4 - HKLM\..\Run: [NAV Auto Updates] slserves.exe
      > O4 - HKLM\..\RunServices: [AntiVirus] kaspery.exe
      > O4 - HKLM\..\RunServices: [NAV Auto Updates] slserves.exe
      > O4 - HKCU\..\Run: [AntiVirus] kaspery.exe
      > O15 - Trusted Zone: ny.contentmatch.net (HKLM)
      > O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-
      > its:mhtml:file://c:\nosuxxx.mht!
      > www.kazaalite.pl/stats/xaw.chm::/bridge-c18.cab

      - Zaznaczasz Fix checked

      - Teraz uruchamiasz CWShreder, Spybota, Ad-aware -> skanujesz.

      - Uruchamiasz ponownie komputer i wklejasz nowego loga.


      Jeszcze 2 sprawy:
      1. masz firewalla?
      2. ja na twoim miejscu odinstalowałabym aplikację neostrady i utworzyła
      połączenie dial-up, bo coś się u Ciebie dzieje z tym Wanadoo- aplikacja jest
      zbędna - wystarczy, że będa same sterowniki do modemu a ich nie usuwasz poprzez
      odistalowanie nesotrady. Opis jak to zrobić
      forum.gazeta.pl/forum/72,2.html?f=34&w=15679891&a=15680440
          • zaworek2 Re: bardzo, bardzo proszę o sprawdzenie loga 10.04.05, 12:29
            Przepraszam KOLOBOS wczoraj pomyliłem grzeczność z " wszędobylstwem "
            po prostu przepraszam..

            Pytania:
            1.Zostawić czy usunąć :
            - Uninstal 180 search Assistant
            - Slotch Bar
            - My Search Bar

            2.Wszystkie pliki , które miały być w C\WINDOWS\System32 są w
            C\WINDOWS\Prefetch czy usunąć je z tamtąd

            3.W C\WINDOWS znalazłem aplikacją(60KB)- czy ją usunąć?

            4.Co to są lub gdzie są pliki tymczasowe?
            • Gość: Kolobos Re: bardzo, bardzo proszę o sprawdzenie loga IP: *.warszawa.sdi.tpnet.pl 10.04.05, 12:37
              ad 1 odinstalowac:
              > - Uninstal 180 search Assistant
              > - Slotch Bar
              > - My Search Bar

              ad 2
              usunac tylko te, ktore masz podane tutaj:
              forum.gazeta.pl/forum/72,2.html?f=430&w=22544412&a=22552217
              nic wiecej nie kasuj bo zepsujesz.

              ad 3 > 3.W C\WINDOWS znalazłem aplikacją(60KB)- czy ją usunąć?

              O jaka aplikacje chodzi? Napisz nazwe itd.

              ad 4 sa to jak sama nazwa pliki tymczasowe, uzyte/utworzone przez jakis
              program, ktory nie pozniej juz ich nie potrzebuje i zalegaja na dysku marnujac
              miejsce.
              Pliki te masz w:
              literadysku:\Documents and Settings\twojanazwauzytkownika\Ustawienia
              lokalne\Temp <- jest to folder ukryty, a wiec wlacz w opcjach explorera zeby
              pokazywal pliki ukryte.
                      • neder Re: bardzo, bardzo proszę o sprawdzenie loga 10.04.05, 13:02
                        zaworek2 napisał:

                        > A co zrobić z plikami w : Temporary Internet Files ( a jest ich jak z tąd do
                        > końca świata )

                        dawno nie robiłes porządków systemie, co?:) usunąć - co jakiś czas to rób. Sś
                        specjalne programy, które pomogą Ci usuwać zbędne pliki z twojego systemu (np.
                        HD Cleaner)
                              • zaworek2 Re: bardzo, bardzo proszę o sprawdzenie loga 10.04.05, 14:50
                                Logfile of HijackThis v1.99.1
                                Scan saved at 14:47:37, on 2005-04-10
                                Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
                                MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

                                Running processes:
                                C:\WINDOWS\System32\smss.exe
                                C:\WINDOWS\system32\winlogon.exe
                                C:\WINDOWS\system32\services.exe
                                C:\WINDOWS\system32\lsass.exe
                                C:\WINDOWS\system32\svchost.exe
                                C:\WINDOWS\System32\svchost.exe
                                C:\WINDOWS\system32\spoolsv.exe
                                C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
                                C:\Program Files\Norton Internet Security\NISUM.EXE
                                C:\WINDOWS\System32\userinit32.exe
                                C:\WINDOWS\Explorer.EXE
                                C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
                                C:\Program Files\Norton Internet Security\ccPxySvc.exe
                                C:\WINDOWS\system32\drivers\KodakCCS.exe
                                C:\Program Files\Norton AntiVirus\navapsvc.exe
                                C:\Program Files\Common Files\Symantec Shared\ccApp.exe
                                C:\WINDOWS\System32\svchost.exe
                                C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
                                C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
                                C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
                                C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
                                C:\Program Files\QuickTime\qttask.exe
                                C:\windows\system32\dwvspu.exe
                                C:\windows\system32\calc.exe
                                C:\Program Files\Messenger\msmsgs.exe
                                C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
                                C:\WINDOWS\System32\msiexec.exe
                                C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
                                C:\WINDOWS\System32\wuauclt.exe
                                C:\Program Files\Wanadoo\Profil1\HijackThis.exe

                                R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
                                www.google.pl
                                R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada
                                Plus wita Cie w Internecie
                                F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
                                O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
                                Shared\ccApp.exe"
                                O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec
                                Shared\ccRegVfy.exe"
                                O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program
                                Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
                                O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
                                O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software
                                Update\HPWuSchd2.exe"
                                O4 - HKLM\..\Run: [HP Component Manager] "C:\Program
                                Files\HP\hpcoretech\hpcmpmgr.exe"
                                O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5
                                \DirectCD\DirectCD.exe"
                                O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
                                atboottime
                                O4 - HKLM\..\Run: [dwvspu] c:\windows\system32\dwvspu.exe
                                O4 - HKLM\..\RunServices: [PCprot] crscs.exe
                                O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
                                O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program
                                Files\HP\Digital Imaging\bin\hpqtra08.exe
                                O4 - Global Startup: HP Image Zone - szybkie uruchamianie.lnk = C:\Program
                                Files\HP\Digital Imaging\bin\hpqthb08.exe
                                O15 - Trusted Zone: *.media-motor.net
                                O16 - DPF: {1F831FAC-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) -
                                file://C:\Program Files\AutoCAD 2002 Plk\InstFred.ocx
                                O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) -
                                www.windowsecurity.com/trojanscan/TDECntrl.CAB
                                O16 - DPF: {737D14F8-4090-11D4-AE0E-0010830243BD} (SysVerChk Control) -
                                file://C:\Program Files\AutoCAD 2002 Plk\SysVerChk.ocx
                                O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
                                a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
                                O16 - DPF: {AE56372C-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) -
                                file://C:\Program Files\AutoCAD 2002 Plk\InstBanr.ocx
                                O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
                                skaner.mks.com.pl/SkanerOnline.cab
                                O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) -
                                file://C:\Program Files\AutoCAD 2002 Plk\AcPreview.ocx
                                O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32
                                \DRIVERS\CDANTSRV.EXE
                                O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
                                C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
                                O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec
                                Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
                                O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation -
                                C:\Program Files\Norton Internet Security\ccPxySvc.exe
                                O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak
                                Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
                                O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec
                                Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
                                O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec
                                Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE
                                O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
                                O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
                                C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
                                O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
                                Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

                                • Gość: Kolobos Re: bardzo, bardzo proszę o sprawdzenie loga IP: *.warszawa.sdi.tpnet.pl 10.04.05, 15:11
                                  Zaznacz te wpisy w hijackthis:

                                  F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
                                  O4 - HKLM\..\Run: [dwvspu] c:\windows\system32\dwvspu.exe
                                  O4 - HKLM\..\RunServices: [PCprot] crscs.exe
                                  O15 - Trusted Zone: *.media-motor.net

                                  I Fix Checked, po resecie usun:
                                  c:\windows\system32\dwvspu.exe
                                  C:\Windows\system32\userinit32.exe (nie pomyl z userinit.exe)
                                  i to: crscs.exe

                                  Pozniej reset i wklej nowy log.
                                  • zaworek2 Re: bardzo, bardzo proszę o sprawdzenie loga 10.04.05, 15:37
                                    1. W C\WINDOWS\system32 są aplikacje : dwvspu oraz userinit ale ich nie usuwam ,
                                    natomiast w Prefetch pojawiły się znowu m.in. dwvspu.exe ,userinit32.exe -
                                    które usunąłem
                                    2. a oto nowy log
                                    Logfile of HijackThis v1.99.1
                                    Scan saved at 15:32:38, on 2005-04-10
                                    Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
                                    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

                                    Running processes:
                                    C:\WINDOWS\System32\smss.exe
                                    C:\WINDOWS\system32\winlogon.exe
                                    C:\WINDOWS\system32\services.exe
                                    C:\WINDOWS\system32\lsass.exe
                                    C:\WINDOWS\system32\svchost.exe
                                    C:\WINDOWS\System32\svchost.exe
                                    C:\WINDOWS\system32\spoolsv.exe
                                    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
                                    C:\Program Files\Norton Internet Security\NISUM.EXE
                                    C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
                                    C:\Program Files\Norton Internet Security\ccPxySvc.exe
                                    C:\WINDOWS\system32\drivers\KodakCCS.exe
                                    C:\Program Files\Norton AntiVirus\navapsvc.exe
                                    C:\WINDOWS\System32\svchost.exe
                                    C:\WINDOWS\System32\userinit32.exe
                                    C:\WINDOWS\Explorer.EXE
                                    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
                                    C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
                                    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
                                    C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
                                    C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
                                    C:\Program Files\QuickTime\qttask.exe
                                    C:\WINDOWS\System32\kaspery.exe
                                    C:\WINDOWS\System32\MSAOL32.exe
                                    C:\Program Files\Preview AdService\PrevAdServ.exe
                                    C:\Program Files\Internet Optimizer\optimize.exe
                                    C:\Program Files\Preview AdService\PrevAdKeep.exe
                                    C:\Program Files\Messenger\msmsgs.exe
                                    C:\WINDOWS\System32\MSAOL32.exe
                                    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
                                    C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
                                    C:\WINDOWS\System32\msiexec.exe
                                    C:\Program Files\Wanadoo\EspaceWanadoo.exe
                                    C:\WINDOWS\System32\wuauclt.exe
                                    C:\Program Files\Wanadoo\ComComp.exe
                                    C:\Program Files\Wanadoo\Watch.exe
                                    C:\WINDOWS\System32\wuauclt.exe
                                    C:\Program Files\Internet Explorer\iexplore.exe
                                    C:\Program Files\Wanadoo\Profil1\HijackThis.exe

                                    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
                                    szukaj.wp.pl
                                    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
                                    www.google.pl
                                    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada
                                    Plus wita Cie w Internecie
                                    R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no
                                    file)
                                    F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
                                    O2 - BHO: DLMaxObj Class - {00000000-59D4-4008-9058-080011001200} -
                                    C:\WINDOWS\dlmax.dll
                                    O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} -
                                    C:\WINDOWS\nem220.dll
                                    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
                                    Shared\ccApp.exe"
                                    O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec
                                    Shared\ccRegVfy.exe"
                                    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program
                                    Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
                                    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
                                    O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software
                                    Update\HPWuSchd2.exe"
                                    O4 - HKLM\..\Run: [HP Component Manager] "C:\Program
                                    Files\HP\hpcoretech\hpcmpmgr.exe"
                                    O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5
                                    \DirectCD\DirectCD.exe"
                                    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
                                    atboottime
                                    O4 - HKLM\..\Run: [AntiVirus] kaspery.exe
                                    O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
                                    O4 - HKLM\..\Run: [Preview AdService] C:\Program Files\Preview
                                    AdService\PrevAdServ.exe
                                    O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet
                                    Optimizer\optimize.exe"
                                    O4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exe
                                    O4 - HKLM\..\RunServices: [AntiVirus] kaspery.exe
                                    O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
                                    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
                                    O4 - HKCU\..\Run: [AntiVirus] kaspery.exe
                                    O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
                                    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program
                                    Files\HP\Digital Imaging\bin\hpqtra08.exe
                                    O4 - Global Startup: HP Image Zone - szybkie uruchamianie.lnk = C:\Program
                                    Files\HP\Digital Imaging\bin\hpqthb08.exe
                                    O16 - DPF: {1F831FAC-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) -
                                    file://C:\Program Files\AutoCAD 2002 Plk\InstFred.ocx
                                    O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) -
                                    www.windowsecurity.com/trojanscan/TDECntrl.CAB
                                    O16 - DPF: {737D14F8-4090-11D4-AE0E-0010830243BD} (SysVerChk Control) -
                                    file://C:\Program Files\AutoCAD 2002 Plk\SysVerChk.ocx
                                    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
                                    a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
                                    O16 - DPF: {AE56372C-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) -
                                    file://C:\Program Files\AutoCAD 2002 Plk\InstBanr.ocx
                                    O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
                                    skaner.mks.com.pl/SkanerOnline.cab
                                    O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) -
                                    file://C:\Program Files\AutoCAD 2002 Plk\AcPreview.ocx
                                    O17 - HKLM\System\CCS\Services\Tcpip\..\{C661F822-2B50-4AFF-B13C-B78182816085}:
                                    NameServer = 194.204.152.34 217.98.63.164
                                    O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32
                                    \DRIVERS\CDANTSRV.EXE
                                    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
                                    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
                                    O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec
                                    Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
                                    O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation -
                                    C:\Program Files\Norton Internet Security\ccPxySvc.exe
                                    O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak
                                    Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
                                    O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec
                                    Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
                                    O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec
                                    Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE
                                    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
                                    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
                                    C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
                                    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
                                    Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

                                    • Gość: Kolobos Re: bardzo, bardzo proszę o sprawdzenie loga IP: *.warszawa.sdi.tpnet.pl 10.04.05, 15:56
                                      Odinstaluj to:

                                      Preview AdService
                                      Internet Optimizer

                                      W hijackthis zaznacz te wpisy:
                                      R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no
                                      file)
                                      O2 - BHO: DLMaxObj Class - {00000000-59D4-4008-9058-080011001200} -
                                      C:\WINDOWS\dlmax.dll
                                      O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} -
                                      C:\WINDOWS\nem220.dll
                                      O4 - HKLM\..\Run: [AntiVirus] kaspery.exe
                                      O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
                                      O4 - HKLM\..\Run: [Preview AdService] C:\Program Files\Preview
                                      AdService\PrevAdServ.exe
                                      O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet
                                      Optimizer\optimize.exe"
                                      O4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exe
                                      O4 - HKLM\..\RunServices: [AntiVirus] kaspery.exe
                                      O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe

                                      I Fix Checked, nastepnie w hijackthis wejdz w Open Misc Tools I Delete file on
                                      reboot i wybierz te pliki (wklej sciezke):

                                      C:\WINDOWS\farmmext.exe
                                      C:\WINDOWS\dlmax.dll
                                      C:\WINDOWS\nem220.dll
                                      kaspery.exe <- tego poszukaj w szukaj plikow, ale pewnie bedzie w windows albo
                                      windows\system32

                                      (nie restuj dopuki nie dodasz wszystkich plikow)

                                      Recznie usun caly katalog:
                                      C:\Program Files\Preview AdService\

                                      Po resecie wklej nowy log.
                                      • zaworek2 Re: bardzo, bardzo proszę o sprawdzenie loga 10.04.05, 18:51
                                        oto mój log:

                                        Logfile of HijackThis v1.99.1
                                        Scan saved at 18:44:38, on 2005-04-10
                                        Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
                                        MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

                                        Running processes:
                                        C:\WINDOWS\System32\smss.exe
                                        C:\WINDOWS\system32\winlogon.exe
                                        C:\WINDOWS\system32\services.exe
                                        C:\WINDOWS\system32\lsass.exe
                                        C:\WINDOWS\system32\svchost.exe
                                        C:\WINDOWS\System32\svchost.exe
                                        C:\WINDOWS\system32\spoolsv.exe
                                        C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
                                        C:\Program Files\Norton Internet Security\NISUM.EXE
                                        C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
                                        C:\Program Files\Norton Internet Security\ccPxySvc.exe
                                        C:\WINDOWS\system32\drivers\KodakCCS.exe
                                        C:\Program Files\Norton AntiVirus\navapsvc.exe
                                        C:\WINDOWS\System32\svchost.exe
                                        C:\WINDOWS\System32\userinit32.exe
                                        C:\WINDOWS\Explorer.exe
                                        C:\Program Files\Common Files\Symantec Shared\ccApp.exe
                                        C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
                                        C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
                                        C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
                                        C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
                                        C:\Program Files\QuickTime\qttask.exe
                                        C:\WINDOWS\System32\kaspery.exe
                                        C:\WINDOWS\System32\MSAOL32.exe
                                        C:\Program Files\Media Access\MediaAccK.exe
                                        C:\Program Files\Media Access\MediaAccess.exe
                                        C:\temp\salm.exe
                                        C:\WINDOWS\System32\jusched.exe
                                        C:\Program Files\Internet Optimizer\optimize.exe
                                        C:\WINDOWS\vanibyv.exe
                                        C:\WINDOWS\System32\gah95on6.exe
                                        C:\Program Files\Messenger\msmsgs.exe
                                        C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
                                        C:\WINDOWS\System32\wuauclt.exe
                                        C:\WINDOWS\System32\wuauclt.exe
                                        C:\WINDOWS\System32\msiexec.exe
                                        C:\Program Files\Wanadoo\Profil1\HijackThis.exe
                                        C:\Program Files\Wanadoo\Profil1\HijackThis.exe
                                        C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe

                                        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
                                        www.google.pl
                                        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada
                                        Plus wita Cie w Internecie
                                        F2 - REG:system.ini: Shell=Explorer.exe jusched.exe
                                        F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
                                        O2 - BHO: DLMaxObj Class - {00000000-59D4-4008-9058-080011001200} -
                                        C:\WINDOWS\dlmax.dll (file missing)
                                        O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
                                        Shared\ccApp.exe"
                                        O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec
                                        Shared\ccRegVfy.exe"
                                        O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program
                                        Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
                                        O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
                                        O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software
                                        Update\HPWuSchd2.exe"
                                        O4 - HKLM\..\Run: [HP Component Manager] "C:\Program
                                        Files\HP\hpcoretech\hpcmpmgr.exe"
                                        O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5
                                        \DirectCD\DirectCD.exe"
                                        O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
                                        atboottime
                                        O4 - HKLM\..\Run: [AntiVirus] kaspery.exe
                                        O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
                                        O4 - HKLM\..\Run: [etbrun] C:\windows\system32\eliteyfd32.exe
                                        O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
                                        O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
                                        O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet
                                        Optimizer\optimize.exe"
                                        O4 - HKLM\..\Run: [vanibyv] C:\WINDOWS\vanibyv.exe
                                        O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\System32\gah95on6.exe
                                        O4 - HKLM\..\RunServices: [AntiVirus] kaspery.exe
                                        O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
                                        O4 - HKCU\..\Run: [AntiVirus] kaspery.exe
                                        O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program
                                        Files\HP\Digital Imaging\bin\hpqtra08.exe
                                        O4 - Global Startup: HP Image Zone - szybkie uruchamianie.lnk = C:\Program
                                        Files\HP\Digital Imaging\bin\hpqthb08.exe
                                        O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be
                                        Internet Zone
                                        O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} -
                                        static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c267.cab
                                        O16 - DPF: {1F831FAC-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) -
                                        file://C:\Program Files\AutoCAD 2002 Plk\InstFred.ocx
                                        O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) -
                                        www.windowsecurity.com/trojanscan/TDECntrl.CAB
                                        O16 - DPF: {737D14F8-4090-11D4-AE0E-0010830243BD} (SysVerChk Control) -
                                        file://C:\Program Files\AutoCAD 2002 Plk\SysVerChk.ocx
                                        O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
                                        a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
                                        O16 - DPF: {AE56372C-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) -
                                        file://C:\Program Files\AutoCAD 2002 Plk\InstBanr.ocx
                                        O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
                                        skaner.mks.com.pl/SkanerOnline.cab
                                        O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) -
                                        file://C:\Program Files\AutoCAD 2002 Plk\AcPreview.ocx
                                        O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32
                                        \DRIVERS\CDANTSRV.EXE
                                        O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
                                        C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
                                        O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec
                                        Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
                                        O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation -
                                        C:\Program Files\Norton Internet Security\ccPxySvc.exe
                                        O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak
                                        Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
                                        O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec
                                        Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
                                        O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec
                                        Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE
                                        O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
                                        O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
                                        C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
                                        O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
                                        Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

                                        ------------Nie mogłem usunąć C:\Program Files\Preview AdService\ bo go nie
                                        było
                                        -----------W Open Misc Tools I Delete file on nie
                                        znalazłem :farmmext.exe,kaspery.exe(były w koszu)
                                        • neder Re: bardzo, bardzo proszę o sprawdzenie loga 10.04.05, 19:05
                                          rany, ciągle Ci te syfy wracają... robisz wszystko w awaryjnym? spróbuj
                                          wyłączyć przywracanie systemu i wtedy dopiero to wszystko usuwać bo coś mi się
                                          wydaje, że tak będzie w kółko. A do tego przybywają Ci nowe syfy - z tego co
                                          widzę... nie używasz firewalla, prawda?

                                          > C:\WINDOWS\System32\userinit32.exe
                                          > C:\WINDOWS\System32\kaspery.exe
                                          > C:\WINDOWS\System32\MSAOL32.exe
                                          > C:\Program Files\Media Access\MediaAccK.exe
                                          > C:\Program Files\Media Access\MediaAccess.exe
                                          > C:\temp\salm.exe
                                          > C:\WINDOWS\vanibyv.exe
                                          > C:\WINDOWS\System32\gah95on6.exe


                                          Rany, współczuję Ci bo to jakiś koszmar...



                                            • zaworek2 Re: bardzo, bardzo proszę o sprawdzenie loga 11.04.05, 14:36
                                              Proszę jeszcze raz o sprawdzenie loga.
                                              Jestem już po prostu zdruzgotany, mogę zrobić format c: ale myślę że jednak
                                              możecie wygrać z tym syfem.

                                              Logfile of HijackThis v1.99.1
                                              Scan saved at 14:34:41, on 2005-04-11
                                              Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
                                              MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

                                              Running processes:
                                              C:\WINDOWS\System32\smss.exe
                                              C:\WINDOWS\system32\winlogon.exe
                                              C:\WINDOWS\system32\services.exe
                                              C:\WINDOWS\system32\lsass.exe
                                              C:\WINDOWS\system32\svchost.exe
                                              C:\WINDOWS\System32\svchost.exe
                                              C:\WINDOWS\system32\spoolsv.exe
                                              C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
                                              C:\Program Files\Norton Internet Security\NISUM.EXE
                                              C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
                                              C:\Program Files\Norton Internet Security\ccPxySvc.exe
                                              C:\WINDOWS\system32\drivers\KodakCCS.exe
                                              C:\Program Files\Norton AntiVirus\navapsvc.exe
                                              C:\WINDOWS\System32\svchost.exe
                                              C:\WINDOWS\System32\userinit32.exe
                                              C:\WINDOWS\Explorer.exe
                                              C:\Program Files\Common Files\Symantec Shared\ccApp.exe
                                              C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
                                              C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
                                              C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
                                              C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
                                              C:\Program Files\QuickTime\qttask.exe
                                              C:\WINDOWS\System32\kaspery.exe
                                              C:\WINDOWS\System32\MSAOL32.exe
                                              C:\WINDOWS\System32\jusched.exe
                                              C:\WINDOWS\System32\ap9h4qmo.exe
                                              C:\WINDOWS\System32\slserves.exe
                                              C:\program files\internet explorer\iexplore.exe
                                              C:\Program Files\Messenger\msmsgs.exe
                                              C:\WINDOWS\System32\MSAOL32.exe
                                              C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
                                              C:\Program Files\Wanadoo\EspaceWanadoo.exe
                                              C:\Program Files\Wanadoo\ComComp.exe
                                              C:\WINDOWS\System32\msiexec.exe
                                              C:\WINDOWS\System32\wuauclt.exe
                                              C:\Program Files\Wanadoo\Watch.exe
                                              C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
                                              C:\Program Files\Outlook Express\msimn.exe
                                              C:\Program Files\Internet Explorer\iexplore.exe
                                              C:\Program Files\Wanadoo\Profil1\HijackThis.exe

                                              R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
                                              szukaj.wp.pl
                                              R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
                                              www.google.pl
                                              R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada
                                              Plus wita Cie w Internecie
                                              F2 - REG:system.ini: Shell=Explorer.exe jusched.exe
                                              F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
                                              O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} -
                                              C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll
                                              O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
                                              Shared\ccApp.exe"
                                              O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec
                                              Shared\ccRegVfy.exe"
                                              O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program
                                              Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
                                              O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
                                              O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software
                                              Update\HPWuSchd2.exe"
                                              O4 - HKLM\..\Run: [HP Component Manager] "C:\Program
                                              Files\HP\hpcoretech\hpcmpmgr.exe"
                                              O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5
                                              \DirectCD\DirectCD.exe"
                                              O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
                                              atboottime
                                              O4 - HKLM\..\Run: [AntiVirus] kaspery.exe
                                              O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
                                              O4 - HKLM\..\Run: [etbrun] C:\windows\system32\eliteyfd32.exe
                                              O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
                                              O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
                                              O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet
                                              Optimizer\optimize.exe"
                                              O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\System32\gah95on6.exe
                                              O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\System32\ap9h4qmo.exe
                                              O4 - HKLM\..\Run: [NAV Auto Updates] slserves.exe
                                              O4 - HKLM\..\Run: [Admanager Controller] C:\Program Files\Admanager
                                              Controller\AdManCtl.exe
                                              O4 - HKLM\..\Run: [czmn] C:\WINDOWS\czmn.exe
                                              O4 - HKLM\..\RunServices: [AntiVirus] kaspery.exe
                                              O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
                                              O4 - HKLM\..\RunServices: [NAV Auto Updates] slserves.exe
                                              O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
                                              O4 - HKCU\..\Run: [AntiVirus] kaspery.exe
                                              O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
                                              O4 - HKCU\..\Run: [NAV Auto Updates] slserves.exe
                                              O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program
                                              Files\HP\Digital Imaging\bin\hpqtra08.exe
                                              O4 - Global Startup: HP Image Zone - szybkie uruchamianie.lnk = C:\Program
                                              Files\HP\Digital Imaging\bin\hpqthb08.exe
                                              O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be
                                              Internet Zone
                                              O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://C:
                                              oo.mht!198.88.20.155/targ.chm::/win32.exe
                                              O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} -
                                              static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c267.cab
                                              O16 - DPF: {1F831FAC-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) -
                                              file://C:\Program Files\AutoCAD 2002 Plk\InstFred.ocx
                                              O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
                                              O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) -
                                              www.windowsecurity.com/trojanscan/TDECntrl.CAB
                                              O16 - DPF: {737D14F8-4090-11D4-AE0E-0010830243BD} (SysVerChk Control) -
                                              file://C:\Program Files\AutoCAD 2002 Plk\SysVerChk.ocx
                                              O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
                                              a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
                                              O16 - DPF: {AE56372C-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) -
                                              file://C:\Program Files\AutoCAD 2002 Plk\InstBanr.ocx
                                              O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
                                              skaner.mks.com.pl/SkanerOnline.cab
                                              O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) -
                                              file://C:\Program Files\AutoCAD 2002 Plk\AcPreview.ocx
                                              O17 - HKLM\System\CCS\Services\Tcpip\..\{C661F822-2B50-4AFF-B13C-B78182816085}:
                                              NameServer = 194.204.152.34 217.98.63.164
                                              O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32
                                              \DRIVERS\CDANTSRV.EXE
                                              O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
                                              C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
                                              O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec
                                              Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
                                              O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation -
                                              C:\Program Files\Norton Internet Security\ccPxySvc.exe
                                              O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak
                                              Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
                                              O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec
                                              Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
                                              O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec
                                              Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE
                                              O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
                                              O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
                                              C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
                                              O23 - Service
                                              • Gość: Kolobos Re: bardzo, bardzo proszę o sprawdzenie loga IP: *.warszawa.sdi.tpnet.pl 11.04.05, 15:58
                                                Po co wklejasz nowy log jak nie zrobiles nawet tego co pisalem wczesniej?

                                                forum.gazeta.pl/forum/72,2.html?f=430&w=22544412&a=22566012
                                                Uzyj tego:
                                                www.simplytech.it/ETRemover/ETRemoverV120.zip
                                                To usun w hijackthis:
                                                > F2 - REG:system.ini: Shell=Explorer.exe jusched.exe
                                                > F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
                                                > O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} -
                                                > C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll
                                                > O4 - HKLM\..\Run: [AntiVirus] kaspery.exe <- ten plik po resecie usun
                                                > O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
                                                > O4 - HKLM\..\Run: [etbrun] C:\windows\system32\eliteyfd32.exe

                                                To miales odinstalowac, czemu tego nie zrobiles?
                                                > O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
                                                <- po resecie usun ten katalog

                                                > O4 - HKLM\..\Run: [salm] c:\temp\salm.exe <- wywal wszystko z C:\Temp po
                                                resecie
                                                To tez miales odinstalowac i co?
                                                > O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet
                                                > Optimizer\optimize.exe" <- po resecie usun ten katalog

                                                > O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\System32\gah95on6.exe <- usun po
                                                resecie
                                                > O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\System32\ap9h4qmo.exe <- usun po
                                                resecie
                                                > O4 - HKLM\..\Run: [NAV Auto Updates] slserves.exe <- po resecie usun ten plik

                                                To miales odinstalowac:
                                                > O4 - HKLM\..\Run: [Admanager Controller] C:\Program Files\Admanager
                                                > Controller\AdManCtl.exe <- po resecie usun ten katalog
                                                > O4 - HKLM\..\Run: [czmn] C:\WINDOWS\czmn.exe <- usun ten plik
                                                > O4 - HKLM\..\RunServices: [AntiVirus] kaspery.exe
                                                > O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
                                                > O4 - HKLM\..\RunServices: [NAV Auto Updates] slserves.exe
                                                > O4 - HKCU\..\Run: [AntiVirus] kaspery.exe
                                                > O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
                                                > O4 - HKCU\..\Run: [NAV Auto Updates] slserves.exe
                                                > O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be
                                                > Internet Zone
                                                > O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://C:
                                                > oo.mht!198.88.20.155/targ.chm::/win32.exe
                                                > O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} -
                                                > static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c267.cab
                                                > O16 - DPF: {1F831FAC-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) -
                                                > file://C:\Program Files\AutoCAD 2002 Plk\InstFred.ocx
                                                > O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
                                                > O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) -
                                                > www.windowsecurity.com/trojanscan/TDECntrl.CAB

                                                I Fix Checked, po resecie usun pliki ktore wymienilem jako do usuniecia, i nie
                                                wklejaj nowego log'a dopuki tego nie zrobisz.Bo z tego co widze to ciagle
                                                wklejasz to samo i ciagle te same pliki masz mimo ze miales je usunac.
                                              • neder Re: bardzo, bardzo proszę o sprawdzenie loga 11.04.05, 16:00
                                                :( nie chcę Cię załamywać ale... ciągle siedzą. Nie odpowiedziałeś na pytanie -
                                                czy robisz to wszystko w awaryjnym, i poza tym czy wyłączasz przywracanie
                                                systemu? To w Twoim przypadku akurat ma znaczenie jak sądzę.

                                                Przed dokananiem jakichkolwiek zmian i usuwaniem czegokolwiek upewnij się, że
                                                masz włączoną opcję pokazywania ukrytych folderów -> Narzędzia> opcje folderów>
                                                widok.

                                                Ściągnij CWShredder - na razie tylko dokonaj aktualizacji - jeszcze nie skanuj -
                                                ponoć teoretycznie ma usuwać userinit32, które nie chce Ci się usunąć.
                                                www.softpedia.com/get/Internet/Popup-Ad-Spyware-Blockers/CWShredder.shtml

                                                A "syfki" to nadal:

                                                > C:\WINDOWS\System32\userinit32.exe
                                                > C:\WINDOWS\System32\kaspery.exe
                                                > C:\WINDOWS\System32\MSAOL32.exe
                                                > C:\WINDOWS\System32\ap9h4qmo.exe
                                                > C:\WINDOWS\System32\slserves.exe


                                                MODEL PRAWIDŁOWEGO USUWANIA SZKODNIKÓW- czyli wyłączanie przywracania systemu i
                                                tryb awaryjny masz tutaj
                                                www.searchengines.pl/phpbb203/index.php?showtopic=12510&st=0&#entry25589
                                                ->w skrócie:

                                                A. WYŁĄCZANIE PRZYWRACANIA SYSTEMU
                                                Control Panel (Panel sterowania) >>> System >>> System Restore (Przywracanie
                                                systemu)
                                                Tam zaznacz opcję Turn off System Restore lub Turn off System Restore on all
                                                drives (Wyłącz przywracanie na wszystkich dyskach). Zatwierdzasz wszystkie
                                                zmiany.

                                                B. TRYB AWARYJNY

                                                Są dwie metody:
                                                1. Przez klawisz F8 (lub F5):
                                                W momencie kiedy komputer się resetuje i ma jeszcze czarny ekran klikamy
                                                nieustannie i bardzo szybko w klawisz F8. Na starszych kompach ta metoda może
                                                się nie sprawdzić gdyż klawisz F8 może być wyłączony lub może być przypisany
                                                inny. Np. jeśli komuś po kliknięciu w F8 wyskoczy wybór urządzenia bootującego
                                                to znaczy, że u niego klawiszem dzięki, któremu przechodzi się w tryb awaryjny
                                                prawdopodobnie jest F5. Problem z metodą F8 polega na strzelaniu w ten klawisz
                                                WE WŁAŚCIWYM MOMENCIE: na czarnym ekranie ale nie za wcześnie (inaczej wystąpi
                                                błąd klawiatury) i nie za późno (inaczej załaduje się Windows w trybie
                                                Normalnym).

                                                2. Przez narzędzie systemowe MSCONFIG.
                                                Patrz niżej na różnice w jego użyciu pomiędzy Windowsami. Ta metoda może się
                                                nie powieść jeśli na kompie jest śmieć gdyż wiele śmieci w pierwszej kolejności
                                                blokuje msconfig właśnie!
                                                Wniosek: nie działa F8 to msconfig, nie działa msconfig to F8.


                                                - USUWANIE EliteSideBar - albo poprzez dodaj/usuń programy jeśli sie nie uda to:
                                                Start> uruchom> regsvr32 /u EliteSideBar 08.dll
                                                teraz coś czego ja nie rozumiem bo nie musiałam nigdy tego robić ale w
                                                angielskiej wersji jest "unregister the dll(s)" więc jak otworzysz już to
                                                okienko to zobacz co zrobić, żeby to świństwo usunąć, co będzie dalej - sorki
                                                ale więcej w tej sprawie nie umiem Ci pomóc:(

                                                > potem sprawdż czy masz wrejestrze wpisy (Start> uruchom> regedit)
                                                HKEY_CLASSES_ROOT\clsid\{0a1d22c3-37be-470c-9c29-e3074ee0574b}
                                                HKEY_CLASSES_ROOT\clsid\{28caeff3-0f18-4036-b504-51d73bd81abc}
                                                HKEY_CLASSES_ROOT\clsid\{825cf5bd-8862-4430-b771-0c15c5ca8def}
                                                HKEY_CLASSES_ROOT\clsid\{be8d0059-d24d-4919-b76f-99f4a2203647}
                                                HKEY_CLASSES_ROOT\clsid\{ed103d9f-3070-4580-ab1e-e5c179c1ae41}
                                                HKEY_CURRENT_USER\software\microsoft\internet
                                                explorer\toolbar\webbrowser\{825cf5bd-8862-4430-b771-0c15c5ca8def}
                                                HKEY_LOCAL_MACHINE\software\elitum
                                                HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar\{825cf5bd-8862-
                                                4430-b771-0c15c5ca8def}
                                                HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser
                                                helper objects\{28caeff3-0f18-4036-b504-51d73bd81abc}
                                                HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser
                                                helper objects\{ed103d9f-3070-4580-ab1e-e5c179c1ae41}
                                                HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\antiware
                                                HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\elitebar
                                                internet explorer toolbar
                                                HKEY_LOCAL_MACHINE\software\ohbbackup
                                                -> jeśli jakiś jest to usuwasz (trochę tego jest ale jak się zainstalowało to
                                                trzeba odinstalować a wszystko podaję Ci za stroną
                                                www3.ca.com/securityadvisor/pest/pest.aspx?id=453090724 )
                                                generalnie przeszukaj komputer pod kątem wszystkich plików elitesidebar ->
                                                znajdziesz to usuwasz oczywiście.


                                                -USUWANIE MediaAcces-> poprzez dodaj/usuń programy


                                                - następna sprawa to czyszczenie plików tymczasowych bo też Ci syf tam siedzi -
                                                > Start> uruchom> %temp% i czyściusz wszystko

                                                - Uruchamiasz CWShredder


                                                Właśnie zobaczyłam co Kolobos podał Ci do usunięcia w Hj więc to usuń:D



              • zaworek2 Re: bardzo, bardzo proszę o sprawdzenie loga 10.04.05, 12:49
                ad.2
                pliki : userinit32.exe , gah95on6.exe , klnhpwqx.exe , kaspery.exe ,
                slserves.exe , sixtypopsix.exe - są to pliki które miałem skasować z "sysem 32"
                ale ich tam nie ma , ale za to są w : C\WINDOWS\Prefetch czy ich skasować?

                ad.3 chodzi o aplikację : Sixtypopsix
        • neder Re: bardzo, bardzo proszę o sprawdzenie loga 10.04.05, 12:26
          Kolobos, on się pyta bo ja mu tak napisałam... a to po to, żeby HijackThis
          zrobił backupy.

          Do autora wątku - tak, jeśli jeszcze tego nie zrobiłeś to utwórz folder
          obojętnie gdzie - według mnie tak jest najzwyczajniej w świecie bezpieczniej.


          pzdr.
          • neder Re: bardzo, bardzo proszę o sprawdzenie loga 10.04.05, 12:29
            neder napisała:

            > Do autora wątku - tak, jeśli jeszcze tego nie zrobiłeś to utwórz folder
            > obojętnie gdzie - według mnie tak jest najzwyczajniej w świecie bezpieczniej.



            Nie wiem tylko czy ściągnąłeś HJ w archiwum? Jesli tak to rozpakuj je a w tym
            folderze umieść samo .exe programu.
    • zaworek2 Re: bardzo, bardzo proszę o sprawdzenie loga 11.04.05, 18:42
      Wszystko robię w trybie awaryjnym ale nie mogę wytropić niektórych plików
      , przywracanie systemu mam wyłączone

      oto mój log

      Logfile of HijackThis v1.99.1
      Scan saved at 18:40:03, on 2005-04-11
      Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
      C:\Program Files\Norton Internet Security\NISUM.EXE
      C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
      C:\Program Files\Norton Internet Security\ccPxySvc.exe
      C:\WINDOWS\system32\drivers\KodakCCS.exe
      C:\Program Files\Norton AntiVirus\navapsvc.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\userinit32.exe
      C:\WINDOWS\Explorer.exe
      C:\Program Files\Common Files\Symantec Shared\ccApp.exe
      C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
      C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
      C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
      C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
      C:\Program Files\QuickTime\qttask.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\WINDOWS\System32\jusched.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
      C:\WINDOWS\System32\msiexec.exe
      C:\WINDOWS\System32\wuauclt.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
      C:\Program Files\Wanadoo\Profil1\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
      szukaj.wp.pl
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
      www.google.pl
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada
      Plus wita Cie w Internecie
      F2 - REG:system.ini: Shell=Explorer.exe jusched.exe
      F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
      O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
      Shared\ccApp.exe"
      O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec
      Shared\ccRegVfy.exe"
      O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program
      Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
      O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
      O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software
      Update\HPWuSchd2.exe"
      O4 - HKLM\..\Run: [HP Component Manager] "C:\Program
      Files\HP\hpcoretech\hpcmpmgr.exe"
      O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5
      \DirectCD\DirectCD.exe"
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
      atboottime
      O4 - HKLM\..\Run: [axwlshun] C:\WINDOWS\axwlshun.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program
      Files\HP\Digital Imaging\bin\hpqtra08.exe
      O4 - Global Startup: HP Image Zone - szybkie uruchamianie.lnk = C:\Program
      Files\HP\Digital Imaging\bin\hpqthb08.exe
      O16 - DPF: {737D14F8-4090-11D4-AE0E-0010830243BD} (SysVerChk Control) -
      file://C:\Program Files\AutoCAD 2002 Plk\SysVerChk.ocx
      O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
      a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
      O16 - DPF: {AE56372C-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) -
      file://C:\Program Files\AutoCAD 2002 Plk\InstBanr.ocx
      O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
      skaner.mks.com.pl/SkanerOnline.cab
      O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) -
      file://C:\Program Files\AutoCAD 2002 Plk\AcPreview.ocx
      O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32
      \DRIVERS\CDANTSRV.EXE
      O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
      C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
      O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec
      Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
      O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation -
      C:\Program Files\Norton Internet Security\ccPxySvc.exe
      O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak
      Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
      O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec
      Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
      O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec
      Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE
      O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
      O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
      C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
      O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
      Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe


      • neder Re: bardzo, bardzo proszę o sprawdzenie loga 11.04.05, 18:54
        jezu, nie wierzę własnym oczom...:) został ci tylko ten cholerny userinit32...
        teraz Ci nie pomoge bo musz esię zmywać, ale może ktoś ci powie jak go się
        pozbyć - jak nie to moge jutro (jesli coiś znajdę w necie - możesz tez sam w
        google poszukać jak pozbyć się tego dziadostwa)


        Ja bym na Twoim miejscu zrobiła teraz jedno - szybko zainstalowała firewall
        zanim nałapiesz jakiegoś następnego syfu - np. Zone Alarm
        www.komputerswiat.pl/include/download/download.asp?sciezka=/programy/internetowe/security/ZoneAlarmPro
        albo Kerio Personal firewall
        www.kerio.pl/

        do usunięcia masz jeszcze jedno (to własnie jakieś nowe)
        > O4 - HKLM\..\Run: [axwlshun] C:\WINDOWS\axwlshun.exe -> tez ręcznie spróbuj
        usunąć z katalogu Windows

        Jaką masz stronę startową? google? jeśli nie masz nic wspólnego z ustawianiem
        tej strony szukaj.wp.pl to usuwasz
        > R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
        > szukaj.wp.pl

        i jeśli masz legalny Windows to zalecam odwiedziny na
        www.windowsupdate.com

        Uff, powoli zaczyna być widać koniec:)


    • zaworek2 Re: bardzo, bardzo proszę o sprawdzenie loga 11.04.05, 19:47
      Ostatni log wyszedł nieźle.
      Za ok. pół godz (komp. cały czas włączony )w DODAJ/USUŃ programy pojawia
      się znowu:
      - Internet Optimizer
      - Media Access
      A norton wywala mi komunikaty :
      -DownloaderTrojan
      - w32.wallz
      - w32....

      oto mój log teraz
      Logfile of HijackThis v1.99.1
      Scan saved at 19:46:46, on 2005-04-11
      Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
      C:\Program Files\Norton Internet Security\NISUM.EXE
      C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
      C:\Program Files\Norton Internet Security\ccPxySvc.exe
      C:\WINDOWS\system32\drivers\KodakCCS.exe
      C:\Program Files\Norton AntiVirus\navapsvc.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\userinit32.exe
      C:\WINDOWS\Explorer.exe
      C:\Program Files\Common Files\Symantec Shared\ccApp.exe
      C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
      C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
      C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
      C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
      C:\Program Files\QuickTime\qttask.exe
      C:\Program Files\Media Access\MediaAccK.exe
      C:\Program Files\Media Access\MediaAccess.exe
      C:\Program Files\Internet Optimizer\optimize.exe
      C:\WINDOWS\System32\ap9h4qmo.exe
      C:\WINDOWS\System32\slserves.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\WINDOWS\System32\jusched.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
      C:\Program Files\Wanadoo\EspaceWanadoo.exe
      C:\WINDOWS\System32\msiexec.exe
      C:\Program Files\Wanadoo\ComComp.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
      C:\Program Files\Wanadoo\Watch.exe
      C:\WINDOWS\System32\wuauclt.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\WINDOWS\system32\cmd.exe
      C:\WINDOWS\system32\ftp.exe
      C:\Program Files\Wanadoo\Profil1\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
      szukaj.wp.pl
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
      www.google.pl
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada
      Plus wita Cie w Internecie
      R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no
      file)
      F2 - REG:system.ini: Shell=Explorer.exe jusched.exe
      F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
      O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} -
      C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
      O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} -
      C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll
      O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} -
      C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
      O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
      Shared\ccApp.exe"
      O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec
      Shared\ccRegVfy.exe"
      O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program
      Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
      O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
      O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software
      Update\HPWuSchd2.exe"
      O4 - HKLM\..\Run: [HP Component Manager] "C:\Program
      Files\HP\hpcoretech\hpcmpmgr.exe"
      O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5
      \DirectCD\DirectCD.exe"
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
      atboottime
      O4 - HKLM\..\Run: [axwlshun] C:\WINDOWS\axwlshun.exe
      O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
      O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet
      Optimizer\optimize.exe"
      O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitemuz32.exe
      O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\System32\ap9h4qmo.exe
      O4 - HKLM\..\Run: [NAV Auto Updates] slserves.exe
      O4 - HKLM\..\RunServices: [NAV Auto Updates] slserves.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKCU\..\Run: [NAV Auto Updates] slserves.exe
      O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program
      Files\HP\Digital Imaging\bin\hpqtra08.exe
      O4 - Global Startup: HP Image Zone - szybkie uruchamianie.lnk = C:\Program
      Files\HP\Digital Imaging\bin\hpqthb08.exe
      O16 - DPF: {737D14F8-4090-11D4-AE0E-0010830243BD} (SysVerChk Control) -
      file://C:\Program Files\AutoCAD 2002 Plk\SysVerChk.ocx
      O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
      a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
      O16 - DPF: {AE56372C-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) -
      file://C:\Program Files\AutoCAD 2002 Plk\InstBanr.ocx
      O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
      skaner.mks.com.pl/SkanerOnline.cab
      O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) -
      file://C:\Program Files\AutoCAD 2002 Plk\AcPreview.ocx
      O17 - HKLM\System\CCS\Services\Tcpip\..\{C661F822-2B50-4AFF-B13C-B78182816085}:
      NameServer = 194.204.152.34 217.98.63.164
      O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32
      \DRIVERS\CDANTSRV.EXE
      O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
      C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
      O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec
      Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
      O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation -
      C:\Program Files\Norton Internet Security\ccPxySvc.exe
      O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak
      Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
      O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec
      Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
      O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec
      Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE
      O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
      O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
      C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
      O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
      Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

      • Gość: Kolobos Re: bardzo, bardzo proszę o sprawdzenie loga IP: *.warszawa.sdi.tpnet.pl 11.04.05, 20:25
        Ten log sie prawie w ogole nie zmienia, ciagle te same pliki.

        Uzyles: www.simplytech.it/ETRemover/ETRemoverV120.zip ?
        Skoro to nie usunelo to zrob to co jest opisane tutaj:
        www.searchengines.pl/phpbb203/index.php?showtopic=12510&st=0&#entry76438
        Sciagnij to:
        www.downloads.subratam.org/KillBox.zip
        zaznacz delete on reboot i wklej do niego sciezki do tych plikow:
        C:\WINDOWS\System32\userinit32.exe i nacisnij czerwony przycisk, na pytanie czy
        chcesz resetowac wybierz, ze nie zgodzisz sie dopiero po dodaniu wszystkich
        plikow, to samo robisz z tymi:
        C:\Program Files\Media Access\MediaAccK.exe
        C:\Program Files\Media Access\MediaAccess.exe
        C:\Program Files\Internet Optimizer\optimize.exe
        C:\WINDOWS\System32\ap9h4qmo.exe
        C:\WINDOWS\System32\slserves.exe
        C:\WINDOWS\System32\jusched.exe <- to chyba nie jest java ;-)
        C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
        C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll
        C:\WINDOWS\axwlshun.exe
        C:\windows\system32\elitemuz32.exe
        Jak dodasz ostatni to wybierz, ze chcesz resetowac.


        Nastepnie usun te wpisy co poprzednio w hijackthis, bo nie bede pisal tego
        znowu.

        I po resecie wklej nowy log i nawet nie probuj wkleic znowu tego samego.


        Ps. czemu masz wlaczone -> C:\WINDOWS\system32\ftp.exe ? Sciagasz cos? czy moze
        ktos Ci sie wlamal i cos sobie sciaga?

        Dziala Ci w ogole firewall? Nie masz czasem jakiegos programu, ktory blokuje
        zmiany w rejestrze? (to musialby byc jakis debilny program ;-)).

Nie pamiętasz hasła

lub ?

 

Nie masz jeszcze konta? Zarejestruj się

Nakarm Pajacyka