Dodaj do ulubionych

prosze o sprawdzenie

10.04.05, 19:43
po skanowaniu mks online zostaly mi zarazone 3 pliki z sys32 syfem o nazwie
Trojan.Plims.A1, Trojan.Plims.A2 oraz Trojan.Mand. Poza tym w autostarcie
uparcie mam od paru dni cos co nazywa sie userinit.exe (co to takiego?),
wraca nawet jak to wywale.

Ponizej log, niech ktos zerknie pliz:))


Logfile of HijackThis v1.99.1
Scan saved at 19:39:40, on 2005-04-10
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\userinit.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\PROGRA~1\NEOSTR~1\CnxMon.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Neostrada TP\NeostradaTP.exe
C:\Program Files\Neostrada TP\ComComp.exe
C:\Program Files\Neostrada TP\Watch.exe
D:\tlen\tlen.exe
C:\WINDOWS\system32\svchost.exe
D:\Install\Avant Browser\avant.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\KASIK\USTAWI~1\Temp\Rar$EX00.360\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.gazeta.pl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada
TP
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -
C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
O1 - Hosts: 66.199.231.172 www.go.com
O1 - Hosts: 66.199.231.172 go.com
O1 - Hosts: 66.199.231.171 astalavista.com
O1 - Hosts: 66.199.231.171 www.astalavista.com
O1 - Hosts: 66.199.231.171 astalavista.box.sk
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} -
C:\Program Files\Common Files\ReGet Shared\Catcher.dll
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} -
D:\Install\sciaganie plikow\ReGetDx\iebar.dll
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program
Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
O4 - HKLM\..\Run: [ ] C:\WINDOWS\system32\userinit.exe
O8 - Extra context menu item: &Pobierz przez ReGet Deluxe - C:\PROGRA~1
\COMMON~1\REGETS~1\CC_Link.htm
O8 - Extra context menu item: Blokuj wszystkie obrazy z tego serwera -
D:\Install\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Dodaj do listy blokowanych reklam -
D:\Install\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Otwórz wszystkie adresy z tej strony... -
D:\Install\Avant Browser\OpenAllLinks.htm
O8 - Extra context menu item: Pobierz &wszystko przez ReGet Deluxe -
C:\PROGRA~1\COMMON~1\REGETS~1\CC_All.htm
O8 - Extra context menu item: Podświetl - D:\Install\Avant
Browser\Highlight.htm
O8 - Extra context menu item: Szukaj - D:\Install\Avant Browser\Search.htm
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-
00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {81E688E8-36A4-4FEF-B70B-8B0A1C5C1308} (WebLauncherX Control) -
www.kuchnie.pl/online/cad/launcher.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A5AFFB3D-4ABD-4110-B43B-
9BBCA789205C}: NameServer = 194.204.152.34 217.98.63.164
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32
\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec
Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation -
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: CWShredder Service - InterMute, Inc. - C:\Documents and
Settings\KASIK\Pulpit\CWShredder.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec
Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec
AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program
Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program
Files\Symantec AntiVirus\Rtvscan.exe

Obserwuj wątek
    • Gość: piecyk gazowy Re: prosze o sprawdzenie IP: *.tpnet.pl / *.tpnet.pl 10.04.05, 19:55
      > R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
      > R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada
      > TP

      > O1 - Hosts: 66.199.231.172 www.go.com
      > O1 - Hosts: 66.199.231.172 go.com
      > O1 - Hosts: 66.199.231.171 astalavista.com
      > O1 - Hosts: 66.199.231.171 www.astalavista.com
      > O1 - Hosts: 66.199.231.171 astalavista.box.sk

      > O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} -
      > C:\Program Files\Common Files\ReGet Shared\Catcher.dll
      > O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} -
      > D:\Install\sciaganie plikow\ReGetDx\iebar.dll

      > O4 - HKLM\..\Run: [ ] C:\WINDOWS\system32\userinit.exe
      > O8 - Extra context menu item: &Pobierz przez ReGet Deluxe - C:\PROGRA~1
      > \COMMON~1\REGETS~1\CC_Link.htm

      > O8 - Extra context menu item: Pobierz &wszystko przez ReGet Deluxe -
      > C:\PROGRA~1\COMMON~1\REGETS~1\CC_All.htm

      > O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} -
      > C:\Program Files\Messenger\msmsgs.exe (file missing)
      > O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-
      > 00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
      • Gość: piecyk gazowy ReGet OK(?) IP: *.tpnet.pl / *.tpnet.pl 10.04.05, 19:58
        > > R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
        > > R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostr
        > ada
        > > TP
        >
        > > O1 - Hosts: 66.199.231.172 www.go.com
        > > O1 - Hosts: 66.199.231.172 go.com
        > > O1 - Hosts: 66.199.231.171 astalavista.com
        > > O1 - Hosts: 66.199.231.171 www.astalavista.com
        > > O1 - Hosts: 66.199.231.171 astalavista.box.sk
        >
        > > O4 - HKLM\..\Run: [ ] C:\WINDOWS\system32\userinit.exe
        >
        > > O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} -
        > > C:\Program Files\Messenger\msmsgs.exe (file missing)
        > > O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9
        > E-
        > > 00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
        • login_niedostepny Re: ReGet OK(?) 10.04.05, 20:19
          ReGet jest ok
          gorzej z userinit.exe bo wraca po resecie i znowu jest w autostarcie:/

          Logfile of HijackThis v1.99.1
          Scan saved at 20:16:31, on 2005-04-10
          Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
          MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

          Running processes:
          C:\WINDOWS\System32\smss.exe
          C:\WINDOWS\system32\csrss.exe
          C:\WINDOWS\system32\winlogon.exe
          C:\WINDOWS\system32\services.exe
          C:\WINDOWS\system32\lsass.exe
          C:\WINDOWS\system32\Ati2evxx.exe
          C:\WINDOWS\system32\svchost.exe
          C:\WINDOWS\system32\svchost.exe
          C:\WINDOWS\System32\svchost.exe
          C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
          C:\WINDOWS\system32\svchost.exe
          C:\WINDOWS\system32\svchost.exe
          C:\WINDOWS\system32\Ati2evxx.exe
          C:\WINDOWS\system32\userinit.exe
          C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
          C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
          C:\WINDOWS\Explorer.EXE
          C:\WINDOWS\system32\spoolsv.exe
          C:\Program Files\Symantec AntiVirus\DefWatch.exe
          C:\Program Files\Symantec AntiVirus\Rtvscan.exe
          C:\PROGRA~1\NEOSTR~1\CnxMon.exe
          C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
          C:\WINDOWS\System32\alg.exe
          C:\WINDOWS\system32\wuauclt.exe
          D:\Install\Avant Browser\avant.exe
          C:\Program Files\Neostrada TP\NeostradaTP.exe
          C:\Program Files\Neostrada TP\ComComp.exe
          C:\Program Files\Neostrada TP\Watch.exe
          C:\Program Files\WinRAR\WinRAR.exe
          C:\DOCUME~1\KASIK\USTAWI~1\Temp\Rar$EX00.922\HijackThis.exe

          R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.gazeta.pl
          R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
          R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -
          C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
          O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
          C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
          O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} -
          C:\Program Files\Common Files\ReGet Shared\Catcher.dll
          O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} -
          D:\Install\sciaganie plikow\ReGetDx\iebar.dll
          O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe
          O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program
          Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
          O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
          O4 - HKLM\..\Run: [ ] C:\WINDOWS\system32\userinit.exe
          O8 - Extra context menu item: &Pobierz przez ReGet Deluxe - C:\PROGRA~1\COMMON~1
          \REGETS~1\CC_Link.htm
          O8 - Extra context menu item: Blokuj wszystkie obrazy z tego serwera -
          D:\Install\Avant Browser\AddAllToADBlackList.htm
          O8 - Extra context menu item: Dodaj do listy blokowanych reklam -
          D:\Install\Avant Browser\AddToADBlackList.htm
          O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
          res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
          O8 - Extra context menu item: Otwórz wszystkie adresy z tej strony... -
          D:\Install\Avant Browser\OpenAllLinks.htm
          O8 - Extra context menu item: Pobierz &wszystko przez ReGet Deluxe - C:\PROGRA~1
          \COMMON~1\REGETS~1\CC_All.htm
          O8 - Extra context menu item: Podświetl - D:\Install\Avant Browser\Highlight.htm
          O8 - Extra context menu item: Szukaj - D:\Install\Avant Browser\Search.htm
          O16 - DPF: {81E688E8-36A4-4FEF-B70B-8B0A1C5C1308} (WebLauncherX Control) -
          www.kuchnie.pl/online/cad/launcher.cab
          O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} -
          skaner.mks.com.pl/SkanerOnline.cab
          O17 - HKLM\System\CCS\Services\Tcpip\..\{A5AFFB3D-4ABD-4110-B43B-9BBCA789205C}:
          NameServer = 194.204.152.34 217.98.63.164
          O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32
          \Ati2evxx.exe
          O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
          O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
          C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
          O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation -
          C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
          O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation -
          C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
          O23 - Service: CWShredder Service - InterMute, Inc. - C:\Documents and
          Settings\KASIK\Pulpit\CWShredder.exe
          O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec
          Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
          O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec
          AntiVirus\SavRoam.exe
          O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
          Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
          O23 - Service: StyleXPService - Unknown owner - C:\Program
          Files\TGTSoft\StyleXP\StyleXPService.exe
          O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program
          Files\Symantec AntiVirus\Rtvscan.exe

            • login_niedostepny Re: ReGet OK(?) 10.04.05, 23:12
              sprobowalam, nie udalo sie

              jeszcze jedno pytanie mam. W folderze C:\WINDOWS\Downloaded Program Files mam 3
              cuda:
              {ciag cyferek}
              shockwave flash
              webLauncherX Control

              dwie pierwsze sa opisane jako "zniszczone", trzecia jest zainstalowana (nie
              przypominam sobie ani zebym "niszczyla" ani instalowala webLauncherX). Co z tym?

              piecyku dzieki za cierpliwosc;)

              Logfile of HijackThis v1.99.1
              Scan saved at 23:12:17, on 2005-04-10
              Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
              MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

              Running processes:
              C:\WINDOWS\System32\smss.exe
              C:\WINDOWS\system32\csrss.exe
              C:\WINDOWS\system32\winlogon.exe
              C:\WINDOWS\system32\services.exe
              C:\WINDOWS\system32\lsass.exe
              C:\WINDOWS\system32\Ati2evxx.exe
              C:\WINDOWS\system32\svchost.exe
              C:\WINDOWS\system32\svchost.exe
              C:\WINDOWS\System32\svchost.exe
              C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
              C:\WINDOWS\system32\svchost.exe
              C:\WINDOWS\system32\svchost.exe
              C:\WINDOWS\system32\Ati2evxx.exe
              C:\WINDOWS\system32\userinit.exe
              C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
              C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
              C:\WINDOWS\Explorer.EXE
              C:\Program Files\Symantec AntiVirus\DefWatch.exe
              C:\Program Files\Symantec AntiVirus\Rtvscan.exe
              C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
              C:\Program Files\Neostrada TP\NeostradaTP.exe
              D:\Install\Avant Browser\avant.exe
              D:\tlen\tlen.exe
              C:\WINDOWS\system32\wbem\wmiprvse.exe
              C:\Program Files\WinRAR\WinRAR.exe
              C:\DOCUME~1\KASIK\USTAWI~1\Temp\Rar$EX05.344\HijackThis.exe

              R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.gazeta.pl
              R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
              R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -
              C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
              O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
              C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
              O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} -
              C:\Program Files\Common Files\ReGet Shared\Catcher.dll
              O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} -
              D:\Install\sciaganie plikow\ReGetDx\iebar.dll
              O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe
              O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program
              Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
              O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
              O8 - Extra context menu item: &Pobierz przez ReGet Deluxe - C:\PROGRA~1\COMMON~1
              \REGETS~1\CC_Link.htm
              O8 - Extra context menu item: Blokuj wszystkie obrazy z tego serwera -
              D:\Install\Avant Browser\AddAllToADBlackList.htm
              O8 - Extra context menu item: Dodaj do listy blokowanych reklam -
              D:\Install\Avant Browser\AddToADBlackList.htm
              O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
              res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
              O8 - Extra context menu item: Otwórz wszystkie adresy z tej strony... -
              D:\Install\Avant Browser\OpenAllLinks.htm
              O8 - Extra context menu item: Pobierz &wszystko przez ReGet Deluxe - C:\PROGRA~1
              \COMMON~1\REGETS~1\CC_All.htm
              O8 - Extra context menu item: Podświetl - D:\Install\Avant Browser\Highlight.htm
              O8 - Extra context menu item: Szukaj - D:\Install\Avant Browser\Search.htm
              O16 - DPF: {81E688E8-36A4-4FEF-B70B-8B0A1C5C1308} (WebLauncherX Control) -
              www.kuchnie.pl/online/cad/launcher.cab
              O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} -
              skaner.mks.com.pl/SkanerOnline.cab
              O17 - HKLM\System\CCS\Services\Tcpip\..\{A5AFFB3D-4ABD-4110-B43B-9BBCA789205C}:
              NameServer = 194.204.152.34 217.98.63.164
              O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32
              \Ati2evxx.exe
              O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
              O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
              C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
              O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation -
              C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
              O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation -
              C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
              O23 - Service: CWShredder Service - InterMute, Inc. - C:\Documents and
              Settings\KASIK\Pulpit\CWShredder.exe
              O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec
              Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
              O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec
              AntiVirus\SavRoam.exe
              O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
              Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
              O23 - Service: StyleXPService - Unknown owner - C:\Program
              Files\TGTSoft\StyleXP\StyleXPService.exe
              O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program
              Files\Symantec AntiVirus\Rtvscan.exe

              • Gość: piecyk gazowy Re: ReGet OK(?) IP: *.tpnet.pl / *.tpnet.pl 11.04.05, 00:01
                Hm... Ten userinit.exe to, z tego co się zorientowałem, poprawny proces.
                Przeskanuj system jakimś antyspyware'em.

                > jeszcze jedno pytanie mam. W folderze C:\WINDOWS\Downloaded Program Files mam
                3
                >
                > cuda:
                > {ciag cyferek}
                > shockwave flash
                > webLauncherX Control
                >
                > dwie pierwsze sa opisane jako "zniszczone", trzecia jest zainstalowana (nie
                > przypominam sobie ani zebym "niszczyla" ani instalowala webLauncherX).

                Możesz go skasować; wczesniej możesz przenieść do innego folderu (na wszelki
                wypadek). Jak wszystko będzie OK, możesz go skasować.
                  • login_niedostepny Re: ReGet OK(?) 11.04.05, 00:20
                    W dalszym ciagu pliki antk15.dll, hdf15.dll i hdp15.dll mam zarazone tymi
                    samymi trojanami i MKS nie chce ich usunac ani wyleczyc. Microsoft AntiSpyware
                    i Adaware nic nie znalazl...

                    Logfile of HijackThis v1.99.1
                    Scan saved at 00:19:38, on 2005-04-11
                    Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
                    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

                    Running processes:
                    C:\WINDOWS\System32\smss.exe
                    C:\WINDOWS\system32\csrss.exe
                    C:\WINDOWS\system32\winlogon.exe
                    C:\WINDOWS\system32\services.exe
                    C:\WINDOWS\system32\lsass.exe
                    C:\WINDOWS\system32\Ati2evxx.exe
                    C:\WINDOWS\system32\svchost.exe
                    C:\WINDOWS\system32\svchost.exe
                    C:\WINDOWS\System32\svchost.exe
                    C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
                    C:\WINDOWS\system32\svchost.exe
                    C:\WINDOWS\system32\svchost.exe
                    C:\WINDOWS\system32\Ati2evxx.exe
                    C:\WINDOWS\system32\userinit.exe
                    C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
                    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
                    C:\WINDOWS\Explorer.EXE
                    C:\Program Files\Symantec AntiVirus\DefWatch.exe
                    C:\Program Files\Symantec AntiVirus\Rtvscan.exe
                    C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
                    C:\Program Files\Neostrada TP\NeostradaTP.exe
                    D:\Install\Avant Browser\avant.exe
                    D:\tlen\tlen.exe
                    C:\WINDOWS\system32\spoolsv.exe
                    C:\WINDOWS\system32\svchost.exe
                    C:\Program Files\WinRAR\WinRAR.exe
                    C:\DOCUME~1\KASIK\USTAWI~1\Temp\Rar$EX00.797\HijackThis.exe

                    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.gazeta.pl
                    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
                    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -
                    C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
                    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
                    C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
                    O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} -
                    C:\Program Files\Common Files\ReGet Shared\Catcher.dll
                    O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} -
                    D:\Install\sciaganie plikow\ReGetDx\iebar.dll
                    O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe
                    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program
                    Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
                    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
                    O8 - Extra context menu item: &Pobierz przez ReGet Deluxe - C:\PROGRA~1\COMMON~1
                    \REGETS~1\CC_Link.htm
                    O8 - Extra context menu item: Blokuj wszystkie obrazy z tego serwera -
                    D:\Install\Avant Browser\AddAllToADBlackList.htm
                    O8 - Extra context menu item: Dodaj do listy blokowanych reklam -
                    D:\Install\Avant Browser\AddToADBlackList.htm
                    O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
                    res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
                    O8 - Extra context menu item: Otwórz wszystkie adresy z tej strony... -
                    D:\Install\Avant Browser\OpenAllLinks.htm
                    O8 - Extra context menu item: Pobierz &wszystko przez ReGet Deluxe - C:\PROGRA~1
                    \COMMON~1\REGETS~1\CC_All.htm
                    O8 - Extra context menu item: Podświetl - D:\Install\Avant Browser\Highlight.htm
                    O8 - Extra context menu item: Szukaj - D:\Install\Avant Browser\Search.htm
                    O16 - DPF: {81E688E8-36A4-4FEF-B70B-8B0A1C5C1308} (WebLauncherX Control) -
                    www.kuchnie.pl/online/cad/launcher.cab
                    O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
                    skaner.mks.com.pl/SkanerOnline.cab
                    O17 - HKLM\System\CCS\Services\Tcpip\..\{A5AFFB3D-4ABD-4110-B43B-9BBCA789205C}:
                    NameServer = 194.204.152.34 217.98.63.164
                    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32
                    \Ati2evxx.exe
                    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
                    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
                    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
                    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation -
                    C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
                    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation -
                    C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
                    O23 - Service: CWShredder Service - InterMute, Inc. - C:\Documents and
                    Settings\KASIK\Pulpit\CWShredder.exe
                    O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec
                    Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
                    O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec
                    AntiVirus\SavRoam.exe
                    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
                    Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
                    O23 - Service: StyleXPService - Unknown owner - C:\Program
                    Files\TGTSoft\StyleXP\StyleXPService.exe
                    O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program
                    Files\Symantec AntiVirus\Rtvscan.exe

                        • login_niedostepny Re: ReGet OK(?) 12.04.05, 23:07
                          Gość portalu: piecyk gazowy napisał(a):

                          > Log z HT wygląda czysto. Wklej loga z tego skryptu:
                          > www.silentrunners.org/Silent%20Runners.vbs
                          > Ściągnij i zapisz plik, odpal, odczekaj chwilę, zostanie utworzony plik
                          > tekstowy, wklej jego zawartość.

                          prosze

                          "Silent Runners.vbs", revision 34, www.silentrunners.org/
                          Operating System: Windows XP SP2
                          Output limited to non-default values, except where indicated by "{++}"


                          Startup items buried in registry:
                          ---------------------------------

                          HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
                          " " = "C:\WINDOWS\system32\userinit.exe" [null data]

                          HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
                          "WooCnxMon" = "C:\PROGRA~1\NEOSTR~1\CnxMon.exe" [empty string]
                          "SpeedTouch USB Diagnostics" = ""C:\Program Files\Thomson\SpeedTouch
                          USB\Dragdiag.exe" /icon" ["THOMSON Telecom Belgium"]
                          "WOOWATCH" = "C:\PROGRA~1\NEOSTR~1\Watch.exe" ["France Télécom R&D"]
                          " " = "C:\WINDOWS\system32\userinit.exe" [null data]

                          HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
                          {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from
                          CLSID]
                          -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 6.0
                          CE\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
                          {16664845-0E00-11D2-8059-000000000000}\(Default) = "ClickCatcher MSIE handler"
                          [from CLSID]
                          -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Common Files\ReGet
                          Shared\Catcher.dll" ["ReGet Software"]

                          HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
                          "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania
                          wyświetlania"
                          -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
                          "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"
                          -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll"
                          ["Hilgraeve, Inc."]
                          "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon
                          Handler"
                          -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft
                          Office\Office10\OLKFSTUB.DLL" [MS]
                          "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
                          -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft
                          Office\Office10\msohev.dll" [MS]
                          "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
                          -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll"
                          [null data]
                          "{BDA77241-42F6-11d0-85E2-00AA001FE28C}" = "LDVP Shell Extensions"
                          -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Common Files\Symantec
                          Shared\SSC\vpshell2.dll" ["Symantec Corporation"]

                          HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
                          INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies
                          Inc."]


                          Enabled Wallpaper and Active Desktop:
                          -------------------------------------

                          Active Desktop is disabled.

                          HKCU\Control Panel\Desktop\
                          "Wallpaper" = "C:\Documents and Settings\KASIK\Dane
                          aplikacji\Microsoft\Internet Explorer\Tapeta programu Internet Explorer.bmp"


                          Winsock2 Service Provider DLLs:
                          -------------------------------

                          Namespace Service Providers

                          HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5
                          \Catalog_Entries\ {++}
                          000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
                          000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
                          000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

                          Transport Service Providers

                          HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9
                          \Catalog_Entries\ {++}
                          0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
                          %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
                          %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


                          Toolbars, Explorer Bars, Extensions:
                          ------------------------------------

                          Toolbars

                          HKLM\Software\Microsoft\Internet Explorer\Toolbar\
                          "{17939A30-18E2-471E-9D3A-56DD725F1215}"
                          -> {CLSID}\(Default) = "ReGet Bar"
                          -> {CLSID}\InProcServer32\(Default) = "D:\Install\sciaganie
                          plikow\ReGetDx\iebar.dll" ["ReGet Software"]

                          Dormant Explorer Bars in "View, Explorer Bar" menu

                          HKLM\Software\Classes\CLSID\{01002DB2-8170-4D9B-A8B1-DDC9DD114E03}\
                          (Default) = "Volet Wanadoo"
                          Implemented Categories\{00021494-0000-0000-C000-000000000046}\ [horizontal bar]
                          InProcServer32\(Default) = "C:\PROGRA~1\NEOSTR~1\audience\audience.dll" [empty
                          string]

                          HKLM\Software\Classes\CLSID\{16664849-0E00-11D2-8059-000000000000}\
                          (Default) = "MSIE Spy"
                          Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
                          InProcServer32\(Default) = "C:\Program Files\Common Files\ReGet
                          Shared\Catcher.dll" ["ReGet Software"]

                          HKLM\Software\Classes\CLSID\{3BAF4A27-C764-4E1A-A6F4-62F7A7E5E51C}\
                          (Default) = "ToolBand Class"
                          Implemented Categories\{00021494-0000-0000-C000-000000000046}\ [horizontal bar]
                          InProcServer32\(Default) = "C:\PROGRA~1\NEOSTR~1\audience\audience.dll" [empty
                          string]

                          HKLM\Software\Classes\CLSID\{5BF498C0-931E-4A4F-B33F-456D07137EAA}\
                          (Default) = "Volet Wanadoo"
                          Implemented Categories\{00021494-0000-0000-C000-000000000046}\ [horizontal bar]
                          InProcServer32\(Default) = "C:\PROGRA~1\NEOSTR~1\audience\audience.dll" [empty
                          string]


                          Running Services (Display Name, Service Name, Path {Service DLL}):
                          ------------------------------------------------------------------

                          Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI
                          Technologies Inc."]
                          StyleXPService, StyleXPService, ""C:\Program
                          Files\TGTSoft\StyleXP\StyleXPService.exe"" [empty string]
                          Symantec AntiVirus, Symantec AntiVirus, ""C:\Program Files\Symantec
                          AntiVirus\Rtvscan.exe"" ["Symantec Corporation"]
                          Symantec AntiVirus Definition Watcher, DefWatch, ""C:\Program Files\Symantec
                          AntiVirus\DefWatch.exe"" ["Symantec Corporation"]
                          Symantec Event Manager, ccEvtMgr, ""C:\Program Files\Common Files\Symantec
                          Shared\ccEvtMgr.exe"" ["Symantec Corporation"]
                          Symantec Settings Manager, ccSetMgr, ""C:\Program Files\Common Files\Symantec
                          Shared\ccSetMgr.exe"" ["Symantec Corporation"]


                          ----------
                          This report excludes default entries except where indicated.
                          To see *everywhere* the script checks and *everything* it finds,
                          launch it from a command prompt or a shortcut with the -all parameter.
                          ----------


                          Kolobos - boje sie usuwac dopoki mozna jeszcze cos zrobic:)ale dzieki bardzo za
                          pomoc tak czy inaczej:)

                      • login_niedostepny Re: ReGet OK(?) 13.04.05, 15:20
                        Gość portalu: Kolobos napisał(a):

                        > W hijackthis wejdz w Open Misc Tools->Delete file on reboot i wybierz wszys
                        > tkie
                        > trzy pliki antk15.dll, hdf15.dll i hdp15.dll nastepnie zresetuj i powinno byc
                        > po klopocie.

                        nie da sie usunac ani przez hijackthis ani recznie
                          • Gość: login_niedostepny Re: ReGet OK(?) IP: *.neoplus.adsl.tpnet.pl 13.04.05, 18:35
                            nie pytal o reset, nic nie usunal, plikow nie udalo sie usunac rowniez w trybie
                            awaryjnym (odnowily sie po resecie).
                            Poza tym zwariowal mi symantec - przy probie usuwania jakiegokolwiek pliku,
                            przy oproznianiu kosza a nawet w czasie uzywania killboxa odpala mu sie
                            (symantecowi) instalacja, nastepnie blad (ponow/anuluj) i dopiero potem pozwala
                            zrobic to co chcialam.
                            wywalenie symanteca cos da czy to powazniejszy problem? format?
                            aha, antyszpiegi nic nie wynajduja a mks online dzis nie dzialal
                            • Gość: Kolobos Re: ReGet OK(?) IP: *.warszawa.sdi.tpnet.pl 13.04.05, 18:43
                              Nortona mozesz wywalic ale sciagnij sobie najpierw firewall i jakis inny
                              antyvirus zebys nie zostal goly.Polecam Kerio + Avast albo zamiast avast'a free-
                              av.com jak Ci nie potrzebne bajery :-)

                              Przeskanuj tez system tym:
                              housecall.trendmicro.com/housecall/start_corp.asp
                              www.windowsecurity.com/trojanscan/
                              www.pandasoftware.com/activescan/pol/activescan_principal.htm
                              Wklej log z tego:
                              www.silentrunners.org/Silent%20Runners.vbs
                              Ale dopiero po przeskanowaniu skanerami i wywaleniu nortona oraz instalacji
                              fire+anty :-)
                              (pewnie sie nie zmiesci w jednym poscie wiec doklej w nastepnym)
                              • Gość: login_niedostepny Re: ReGet OK(?) IP: *.neoplus.adsl.tpnet.pl 13.04.05, 21:24
                                probowalam wywalic pare programow m.in. antywira i antyszpiega ktore mialam i
                                pare innych niepotrzebnych mi, ale niestety mimo kilku resetow nie moge ich do
                                konca usunac ("folder nie jest pusty"), nie moge rowniez zainstalowac kerio i
                                tego drugiego (pokazuja dwa rozne komunikaty ktorych nie pamietam w tej
                                chwili). Wali sie z minuty na minute. Probuje teraz skanowac tym co tu
                                podales/las;) zobaczymy z jakim rezultatem....
                                • login_niedostepny Re: ReGet OK(?) 13.04.05, 22:23
                                  wklejam log z hijacka bo tamten mi nie dziala (jakis problem z XP + SP2).
                                  Skaner jeden wykryl mi wirusa o nazwie BKDR PLIMUS.A (non cleanable) w jednym z
                                  tych 3 plikow w sys32 i to wszystko. Panda u mnie nie poszla.
                                  Kosz nie chce sie oproznic a Kerio i AV zainstalowac. I takie tam inne cuda na
                                  kiju;> cos w tym logu jest?

                                  Logfile of HijackThis v1.99.1
                                  Scan saved at 22:19:38, on 2005-04-13
                                  Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
                                  MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

                                  Running processes:
                                  C:\WINDOWS\System32\smss.exe
                                  C:\WINDOWS\system32\csrss.exe
                                  C:\WINDOWS\system32\winlogon.exe
                                  C:\WINDOWS\system32\services.exe
                                  C:\WINDOWS\system32\lsass.exe
                                  C:\WINDOWS\system32\Ati2evxx.exe
                                  C:\WINDOWS\system32\svchost.exe
                                  C:\WINDOWS\system32\svchost.exe
                                  C:\WINDOWS\System32\svchost.exe
                                  C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
                                  C:\WINDOWS\system32\svchost.exe
                                  C:\WINDOWS\system32\svchost.exe
                                  C:\WINDOWS\system32\Ati2evxx.exe
                                  C:\WINDOWS\system32\userinit.exe
                                  C:\WINDOWS\system32\spoolsv.exe
                                  C:\WINDOWS\Explorer.EXE
                                  C:\WINDOWS\system32\GStartUp.exe
                                  C:\WINDOWS\System32\alg.exe
                                  C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
                                  C:\Program Files\Neostrada TP\NeostradaTP.exe
                                  C:\Program Files\Neostrada TP\ComComp.exe
                                  C:\Program Files\Neostrada TP\Watch.exe
                                  D:\tlen\tlen.exe
                                  D:\Install\Avant Browser\avant.exe
                                  C:\WINDOWS\system32\wbem\wmiprvse.exe
                                  C:\WINDOWS\system32\svchost.exe
                                  C:\Documents and Settings\KASIK\Pulpit\HijackThis.exe

                                  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.gazeta.pl
                                  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
                                  R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -
                                  C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
                                  O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
                                  C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
                                  O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} -
                                  C:\Program Files\Common Files\ReGet Shared\Catcher.dll
                                  O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} -
                                  D:\Install\sciaganie plikow\ReGetDx\iebar.dll
                                  O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe
                                  O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program
                                  Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
                                  O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
                                  O4 - HKLM\..\Run: [ ] C:\WINDOWS\system32\userinit.exe
                                  O4 - HKLM\..\Run: [Hidder] "D:\install\sekretnik\Hidder.exe" /start
                                  O8 - Extra context menu item: &Pobierz przez ReGet Deluxe - C:\PROGRA~1\COMMON~1
                                  \REGETS~1\CC_Link.htm
                                  O8 - Extra context menu item: Blokuj wszystkie obrazy z tego serwera -
                                  D:\Install\Avant Browser\AddAllToADBlackList.htm
                                  O8 - Extra context menu item: Dodaj do listy blokowanych reklam -
                                  D:\Install\Avant Browser\AddToADBlackList.htm
                                  O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
                                  res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
                                  O8 - Extra context menu item: Otwórz wszystkie adresy z tej strony... -
                                  D:\Install\Avant Browser\OpenAllLinks.htm
                                  O8 - Extra context menu item: Pobierz &wszystko przez ReGet Deluxe - C:\PROGRA~1
                                  \COMMON~1\REGETS~1\CC_All.htm
                                  O8 - Extra context menu item: Podświetl - D:\Install\Avant Browser\Highlight.htm
                                  O8 - Extra context menu item: Szukaj - D:\Install\Avant Browser\Search.htm
                                  O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) -
                                  www.windowsecurity.com/trojanscan/TDECntrl.CAB
                                  O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
                                  a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
                                  O16 - DPF: {81E688E8-36A4-4FEF-B70B-8B0A1C5C1308} (WebLauncherX Control) -
                                  www.kuchnie.pl/online/cad/launcher.cab
                                  O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} -
                                  skaner.mks.com.pl/SkanerOnline.cab
                                  O17 - HKLM\System\CCS\Services\Tcpip\..\{A5AFFB3D-4ABD-4110-B43B-9BBCA789205C}:
                                  NameServer = 194.204.152.34 217.98.63.164
                                  O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32
                                  \Ati2evxx.exe
                                  O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
                                  O23 - Service: CWShredder Service - InterMute, Inc. - C:\Documents and
                                  Settings\KASIK\Pulpit\CWShredder.exe
                                  O23 - Service: StartUp Service (GStartUp) - G DATA Software Sp. z o.o. -
                                  C:\WINDOWS\system32\GStartUp.exe
                                  O23 - Service: StyleXPService - Unknown owner - C:\Program
                                  Files\TGTSoft\StyleXP\StyleXPService.exe

                                    • login_niedostepny Re: ReGet OK(?) 13.04.05, 22:56
                                      to juz usuwalam pare dni temu - wraca:-)
                                      no niech ktos cos wymysli:D nie moge instalowac, nie moge usunac z kosza, nie
                                      moge kasowac plikow NICCCCCCCCCCCCCCCCCC nie moge a nie chce formatu bo nie mam
                                      czasu:(((((
                                      • Gość: Kolobos Re: ReGet OK(?) IP: *.warszawa.sdi.tpnet.pl 13.04.05, 22:59
                                        Jakbys pomyslal o tym wczesniej zeby wszystko zabezpieczyc i nie instalowac
                                        smieci to pewnie by tak teraz nie bylo.Przez internet ciezko Ci cos doradzic bo
                                        pewnie masz popsute wiele rzeczy ale co i jak tego nie wiem.
                                        Czy podczas instalacji wyskakuje jakis komunikat? W ogole opisz wszystko
                                        dokladnie.
                                        • login_niedostepny Re: ReGet OK(?) 13.04.05, 23:12
                                          przy probie instalacji Kerio - po przygotowaniu do instalacji wyskakuje okno
                                          InstallShield Wizard Completed z komunikatem "The wizard was interrupted before
                                          Kerio PF could be completely installed. Your system has not been modified. To
                                          complete installation at ahother time, please run setup again. Click finish to
                                          exit the wizard." I mam do wyboru Back - Finis - Cance (bez H i L na koncu).
                                          Aktywne tylko Finis.

                                          AV w polowie dekompresji staje i wywala okno WinZipa "Cant create output file
                                          C:\DOCUME~1\ja\ustawi~1\temp\WZSE0.TMP\disk_1\EULA.TXT"

                                          W koszu zostaje mi folder Microsoft AntySpyware (pusty), ale nie moge oproznic
                                          bo "nie mozna usunac folderu Dd1. Katalog nie jest pusty"

                                          nie moge usunac pustego folderu po messengerze bo tez "nie jest pusty", pustego
                                          folderu po definicjach wirusow symanteca bo "tez nie jest pusty", pustego tempa
                                          z tego samego powodu i paru innych jeszcze.



                                                  • login_niedostepny Re: ReGet OK(?) 14.04.05, 15:04
                                                    sekretnik to taki fajny bajer ktorym mozna ukrywac dokumenty, foldery, pliki i
                                                    inne tajne sprawy;-)) przydatne bylo, ale do czasu jak widac;-)

                                                    W awaryjnym juz dzialalam - bez skutku. Pandy online nie moge uruchomic bo
                                                    przegladarke mam nie taka jak trzeba, chyba ze masz na mysli ten "drugi"
                                                    hijackthis, to wyprobuje wieczorem.
                                                  • login_niedostepny Re: ReGet OK(?) 14.04.05, 23:33
                                                    siadl mi system KOMPLETNIE, nie chce mi sie nawet tego opisywac;p
                                                    jestem po formacie, moge juz wszystko wklejac:DDDDDDDDD

                                                    "Silent Runners.vbs", revision 35, www.silentrunners.org/
                                                    Operating System: Windows XP SP2
                                                    Output limited to non-default values, except where indicated by "{++}"


                                                    Startup items buried in registry:
                                                    ---------------------------------

                                                    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
                                                    "NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]

                                                    HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
                                                    "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania
                                                    wyświetlania"
                                                    -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
                                                    "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"
                                                    -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll"
                                                    ["Hilgraeve, Inc."]
                                                    "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
                                                    -> {CLSID}\InProcServer32\(Default) = "D:\Install\winrar\rarext.dll" [null
                                                    data]

                                                    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
                                                    INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies
                                                    Inc."]


                                                    Enabled Screen Saver:
                                                    ---------------------

                                                    HKCU\Control Panel\Desktop\
                                                    "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


                                                    Enabled Wallpaper and Active Desktop:
                                                    -------------------------------------

                                                    Active Desktop is disabled.

                                                    HKCU\Control Panel\Desktop\
                                                    "Wallpaper" = "C:\WINDOWS\web\wallpaper\Idylla.bmp"


                                                    Winsock2 Service Provider DLLs:
                                                    -------------------------------

                                                    Namespace Service Providers

                                                    HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5
                                                    \Catalog_Entries\ {++}
                                                    000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
                                                    000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
                                                    000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

                                                    Transport Service Providers

                                                    HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9
                                                    \Catalog_Entries\ {++}
                                                    0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
                                                    %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11
                                                    %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


                                                    Toolbars, Explorer Bars, Extensions:
                                                    ------------------------------------

                                                    Extensions (Tools menu items, main toolbar menu buttons)

                                                    HKLM\Software\Microsoft\Internet Explorer\Extensions\
                                                    {FB5F1910-F110-11D2-BB9E-00C04F795683}\
                                                    "ButtonText" = "Messenger"
                                                    "MenuText" = "Windows Messenger"
                                                    "Exec" = "C:\Program Files\Messenger\msmsgs.exe" [file not found]


                                                    Running Services (Display Name, Service Name, Path {Service DLL}):
                                                    ------------------------------------------------------------------

                                                    AntiVir Service, AntiVirService, ""C:\Program Files\AVPersonal\AVGUARD.EXE""
                                                    ["H+BEDV Datentechnik GmbH"]
                                                    AntiVir Update, AVWUpSrv, ""C:\Program Files\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV
                                                    Datentechnik GmbH, Germany"]
                                                    Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI
                                                    Technologies Inc."]
                                                    Kerio Personal Firewall 4, KPF4, ""C:\Program Files\Kerio\Personal Firewall 4
                                                    \kpf4ss.exe"" ["Kerio Technologies"]


                                                    ----------
                                                    This report excludes default entries except where indicated.
                                                    To see *everywhere* the script checks and *everything* it finds,
                                                    launch it from a command prompt or a shortcut with the -all parameter.
                                                    ----------
                                                  • login_niedostepny Re: ReGet OK(?) 15.04.05, 11:37
                                                    mam Kerio, AntiVir'a i AdAware - powinno chyba wystarczyc? od czasu do czasu
                                                    skanuje mksem online i CwShrederem (czy jakos tak)

                                                    Kolobos dzieki za pomoc i wsparcie w ostatnich jakze dla mnie ciezkich dniach;-
                                                    ))))
                                                  • login_niedostepny Re: ReGet OK(?) 15.04.05, 20:23
                                                    jeszcze mam pytanie jedno, moze nie na to forum, ale nie chce kombinowac bo to
                                                    do mojego tematu
                                                    Swego czasu przenioslam sobie outlooka z partycji C na D (zeby nie stracic
                                                    wiadomosci w razie formatu i faktycznie raz nie stracilam). Niestety tym razem
                                                    wcielo mi wszystkie konta i wszystkie maile:((((((((((((((((((((((((( czy jest
                                                    sposob zeby to odzyskac? a moze to GDZIES jest tylko nie wiem gdzie????
                                                  • login_niedostepny Re: ReGet OK(?) 15.04.05, 22:46
                                                    nie pomoglo bo ja nie robilam zadnego backupu i nie mam skad importowac
                                                    wiadomosci:( mialam wszystkie na C jak ta ostatnia c*pa://// tylko program
                                                    przenioslam na D ale jak ktos nie mysli to az milo..... nie da sie tego z neta
                                                    sciagnac? to byly konta z portali

Popularne wątki

Nie pamiętasz hasła

lub ?

 

Nie masz jeszcze konta? Zarejestruj się

Nakarm Pajacyka